2014年12月安全更新概览
2014年12月10日(日本时间),微软发布了7项新安全公告(3项紧急、4项重要),同时更新了2项现有安全公告和2项安全补丁。企业用户应优先部署MS14-080(Internet Explorer)和MS14-081(Word及Office Web Apps)的更新。
关键注意事项
- MS14-075 (Exchange):原定11月发布的Exchange Server补丁正式发布
- MS14-084 (VBScript):未安装IE或使用IE8及更早版本的系统需单独安装此补丁修复CVE-2014-6363内存损坏漏洞
- SSL 3.0防护升级:通过MS14-080为IE11新增SSL 3.0回退警告功能(默认关闭,计划2015年2月启用)
- MS14-081跨平台更新:Mac版及Office Web Apps 2013更新不通过Microsoft Update分发
安全公告更新详情
- 公告3009008 (SSL)
新增IE11的SSL 3.0回退警告机制(需手动启用) - 公告2755801 (Adobe Flash)
修复APSB14-27中披露的漏洞(详情参见KB3008925)
安全补丁重新发布
- MS14-065 (IE累积更新)
重新发布以全面修复CVE-2014-6353,影响Windows 7/Server 2008的IE8和IE10用户 - MS14-066 (Schannel)
重新提供Windows Vista/Server 2008的更新包2992611
完整安全公告列表
| 公告ID | 标题 | 严重等级 | 影响 | 重启要求 | 受影响软件 |
|---|---|---|---|---|---|
| MS14-075 | Exchange Server权限提升漏洞 | 重要 | 权限提升 | 可能需重启 | Exchange Server 2007/2010/2013 |
| MS14-080 | Internet Explorer累积安全更新 | 紧急 | 远程代码执行 | 需重启 | 所有支持版本的Windows IE |
| MS14-081 | Word及Office Web Apps远程代码执行漏洞 | 紧急 | 远程代码执行 | 可能需重启 | Word 2007/2010/2013/2013 RT, Office 2010/Mac 2011, Word Viewer, 兼容包, Word Automation Services, Web Apps |
| MS14-082 | Office远程代码执行漏洞 | 重要 | 远程代码执行 | 可能需重启 | Office 2007/2010/2013/2013 RT |
| MS14-083 | Excel远程代码执行漏洞 | 重要 | 远程代码执行 | 可能需重启 | Excel 2007/2010/2013/2013 RT, 兼容包 |
| MS14-084 | VBScript脚本引擎远程代码执行漏洞 | 紧急 | 远程代码执行 | 可能需重启 | Windows Server 2003/Vista/Server 2008/7/Server 2008 R2的VBScript 5.6/5.7/5.8 |
| MS14-085 | Microsoft图形组件信息泄露漏洞 | 重要 | 信息泄露 | 可能需重启 | 所有支持版本的Windows |
后续资源
- 完整技术细节:https://technet.microsoft.com/ja-jp/library/security/ms14-Dec
- 微软安全响应团队将通过视频及音频简报介绍更新优先级、重启要求及已知问题