2014年10月安全更新风险评估
本文章翻译自 Security Research & Defense 博客 “Assessing risk for the October 2014 security updates”(2014年10月15日发布)
今日我们发布了8个安全公告,解决了24个独立的CVE。其中3个安全公告的最高严重等级为“紧急”,5个为“重要”。为帮助您确定最适合您环境的更新应用优先级,请参考以下表格。
| 安全公告 | 最可能攻击方式 | 最高严重等级 | 最高利用可能性指标 | 平台缓解措施及注意事项 |
|---|---|---|---|---|
| MS14-058(内核模式驱动程序 [win32k.sys]) | 攻击者通过Office文档或Web浏览器在用户计算机上加载恶意字体,导致远程代码执行。 | 紧急 | 0 | CVE-2014-4148和CVE-2014-4113的利用已被确认。CVE-2014-4148用于远程代码执行,CVE-2014-4113用于权限提升。如果启用NULL页面映射缓解措施(Windows 7可配置,Windows 8及更高版本默认启用),则在32位平台上无法利用CVE-2014-4113。 |
| MS14-056(Internet Explorer) | 受害者访问恶意网页。 | 紧急 | 0 | CVE-2014-4123的利用已被确认,用作沙箱逃逸。未确认针对此更新解决的远程代码执行漏洞的主动攻击。 |
| MS14-057(.NET Framework) | 攻击者向易受攻击的Web应用程序发送恶意数据。 | 紧急 | 1 | |
| MS14-060(Windows OLE组件) | 受害者打开恶意Office文档,该文档利用漏洞执行恶意可执行文件。(#1) | 重要 | 0 | CVE-2014-4114的利用已被确认。使用非管理员账户或将UAC设置为“始终提示”可缓解漏洞影响。 |
| MS14-061(Word) | 受害者打开恶意Word文档。 | 重要 | 1 | |
| MS14-062(内核模式驱动程序 [msmq.sys]) | 以低权限运行代码的攻击者执行利用二进制文件以提升至SYSTEM权限。 | 重要 | 1 | 此漏洞仅影响Windows Server 2003。 |
| MS14-063(内核模式驱动程序 [fastfat.sys]) | 重要 | 2 | 必须能够物理插入USB闪存驱动器到计算机。 | |
| MS14-059(ASP.NET MVC) | 受害者打开恶意链接。 | 重要 | 3 | 这是一个跨站脚本(XSS)漏洞。默认情况下,Internet区域中IE8-IE11的XSS过滤器会阻止利用此漏洞的尝试。 |
#1: 不仅限于Office文档,还包括打开包含特制OLE对象的附件。许多类型的附件文档都可能包含此类OLE对象。所有类型的Office文件及许多第三方文件类型都可能包含恶意OLE对象。
作者: 约翰·比亚雷克和苏哈·汗,MSRC工程团队
更新历史:
2014/10/16:为明确文档类型,添加了#1说明。