评估2014年10月安全更新的风险
今天,我们发布了八个安全公告,解决了24个独特的CVE漏洞。其中三个公告的最高严重性评级为“关键”,五个为“重要”。下表旨在帮助您根据环境优先部署更新。
| 公告 | 最可能的攻击向量 | 最高公告严重性 | 最高可利用性 | 平台缓解措施和关键说明 |
|---|---|---|---|---|
| MS14-058 | 攻击者通过Office文档或网页浏览器在用户计算机上加载恶意字体,导致远程代码执行。 | 关键 | 0 | CVE-2014-4148和CVE-2014-4113在野外检测到利用。CVE-2014-4148用于远程代码执行,CVE-2014-4113用于权限提升。在32位平台上,如果启用了NULL页映射缓解(Windows 7可配置,Windows 8及以上默认启用),CVE-2014-4113不可利用。 |
| MS14-056 | 受害者浏览恶意网页。 | 关键 | 0 | CVE-2014-4123在野外检测到利用,用作沙箱逃逸。本次更新中解决的远程代码执行漏洞未发现正在被主动攻击。 |
| MS14-057 | 攻击者向易受攻击的Web应用程序发送恶意数据。 | 关键 | 1 | |
| MS14-060 | 受害者打开利用漏洞的恶意Office文档,导致恶意可执行文件运行。 | 重要 | 0 | CVE-2014-4114在野外检测到利用。使用非管理员账户或将UAC设置为“始终提示”有助于减轻此漏洞的影响。 |
| MS14-061 | 受害者打开恶意Word文档。 | 重要 | 1 | |
| MS14-062 | 攻击者以低权限运行代码,运行利用二进制文件提升至SYSTEM权限。 | 重要 | 1 | 此漏洞仅影响Windows Server 2003。 |
| MS14-063 | 重要 | 2 | 需要能够物理插入USB闪存盘到计算机。 | |
| MS14-059 | 受害者打开恶意链接。 | 重要 | 3 | 这是一个跨站脚本(XSS)漏洞。在Internet区域中,IE8至IE11默认启用的XSS过滤器可防止利用此漏洞的尝试。 |
- Joe Bialek 和 Suha Can,MSRC 工程团队