2014年1月のセキュリティ更新プログラムのリスク評価
Japan Security Team
2014年1月15日・4分钟阅读
本文章翻译自Security Research & Defense博客“Assessing risk for the December 2014 security updates”(2014年1月14日发布)。
今天我们发布了4项安全公告,解决了6个CVE。所有安全公告的最高严重性均为“重要”。为帮助您确定环境中更新程序的优先应用顺序,请参考以下表格。
| 安全公告 | 最可能攻击向量 | 最高严重性 | 最高可利用性指标 | 30天内影响 | 平台缓解措施及备注 |
|---|---|---|---|---|---|
| MS14-002 (NDProxy, 内核模式驱动程序) | 低权限攻击者在应用沙盒内执行代码,利用此漏洞提升至SYSTEM权限。 | 重要 | 1 | 预计持续出现利用此漏洞在沙盒外提升权限的Adobe PDF攻击。 | 微软已分析所有利用尝试(CVE-2013-3346)。该Adobe漏洞已于2013年9月11日通过Adobe安全更新解决。解决安全公告2914486中描述的漏洞。 |
| MS14-001 (Word) | 受害者打开恶意Office文档。 | 重要 | 1 | 30天内可能开发出利用代码。 | 无 |
| MS14-003 (win32k.sys, 内核模式驱动程序) | 低权限代码执行攻击者运行利用二进制文件以提升至SYSTEM权限。 | 重要 | 1 | 30天内可能开发出利用代码。 | 无 |
| MS14-004 (Microsoft Dynamics AX) | 可认证Dynamics服务器的攻击者可能引发服务拒绝,阻止其他客户端请求。 | 重要 | 无 | 仅导致服务拒绝,无法用于代码执行。 | 无 |
Jonathan Ness, MSRC工程团队