评估2014年11月安全更新的风险
今天我们发布了十四个安全公告,解决了33个独特的CVE漏洞。其中四个公告的最高严重性评级为关键,八个为重要,两个为中等。下表旨在帮助您根据环境优先部署更新。
| 公告 | 最可能的攻击向量 | 最高公告严重性 | 最高可利用性 | 部署优先级 | 平台缓解措施和关键说明 |
|---|---|---|---|---|---|
| MS14-064 (Windows OLE组件) | 用户打开恶意Office文档。 | 关键 | 0 | 1 | CVE-2014-6352在野外用于有限的针对性攻击。 |
| MS14-066 (SChannel) | 恶意用户向暴露的服务发送特制数据包。 | 关键 | 1 | 1 | 在主动安全评估期间内部发现。 |
| MS14-065 (Internet Explorer) | 用户浏览恶意网页。 | 关键 | 1 | 1 | |
| MS14-069 (Office) | 用户打开恶意Word文档。 | 重要 | 1 | 2 | Office 2010及更高版本不受此公告中任何漏洞的影响。 |
| MS14-067 (MSXML) | 用户浏览恶意网页。 | 关键 | 2 | 2 | 仅MSXML 3易受攻击。 |
| MS14-073 (SharePoint) | 用户打开恶意链接。 | 重要 | 2 | 2 | 这是一个跨站脚本漏洞。 |
| MS14-078 (IME) | 用户使用Adobe Reader打开恶意PDF文档。 | 中等 | 0 | 3 | CVE-2014-4077在一次针对性攻击中用于通过恶意DIC文件进行二进制劫持以绕过Adobe Reader沙箱。 |
| MS14-071 (Windows音频服务) | 用户浏览恶意网页。 | 重要 | 2 | 3 | 仅本地权限提升,可能被用作沙箱逃逸。 |
| MS14-070 (tcpip.sys) | 经过身份验证的Windows用户在目标系统上运行恶意程序。 | 重要 | 2 | 3 | 仅本地权限提升。 |
| MS14-072 (.NET Framework) | 攻击者向易受攻击的Web应用程序发送恶意数据。 | 重要 | 2 | 3 | 不使用.NET Remoting的应用程序不易受攻击。 |
| MS14-076 (IIS) | 攻击者可能访问仅限白名单的站点,而无需连接到适当的域。黑名单也可能被类似绕过。 | 重要 | 3 | 3 | 漏洞出现在配置中使用包含通配符的域名限制白名单和黑名单功能时。IP地址限制不受影响。 |
| MS14-074 (RDP) | 在某些情况下,授权审核日志可能被绕过。 | 重要 | 3 | 3 | 漏洞仅适用于失败的AuthZ场景,而不适用于失败的AuthN。例如,如果尝试使用没有RDP权限的有效用户登录服务器,该事件日志可能不会被记录。如果提供无效用户或密码,事件日志仍将被记录。 |
| MS14-077 (ADFS) | 在某些配置中,经过身份验证的用户可能无法注销。 | 重要 | 3 | 3 | 出现在特定配置中,其中ADFS服务器配置为使用没有配置注销端点的SAML依赖方。 |
| MS14-079 (内核模式驱动程序[win32k.sys]) | 用户浏览恶意网页。 | 中等 | 3 | 3 | 漏洞仅导致拒绝服务。 |
- Suha Can, MSRC Engineering