评估2014年2月安全更新的风险
今天,我们发布了七个安全公告,解决了31个独特的CVE漏洞。其中四个公告的最高严重性评级为“关键”,其他三个为“重要”。我们希望下表能帮助您根据环境优先部署更新。
| 公告 | 最可能的攻击向量 | 最高公告严重性 | 最高可利用性 | 可能的前30天影响 | 平台缓解措施和关键说明 |
|---|---|---|---|---|---|
| MS14-010 (Internet Explorer) | 受害者浏览恶意网页。 | 关键 | 1 | 可能在未来30天内看到可靠的漏洞利用开发。 | 在单个包中解决内存损坏漏洞和权限提升漏洞。 |
| MS14-011 (VBScript) | 受害者浏览恶意网页。 | 关键 | 1 | 可能在未来30天内看到可靠的漏洞利用开发。 | 此公告解决的单个CVE包含在MS14-010中,适用于IE9用户。安装IE9的客户无需部署MS14-011。 |
| MS14-007 (DirectWrite) | 受害者浏览恶意网页。 | 关键 | 1 | 可能在未来30天内看到可靠的漏洞利用开发。 | Internet Explorer是DirectWrite中此漏洞的向量。 |
| MS14-005 (MSXML) | 受害者浏览恶意网站以暴露此信息泄露漏洞。 | 重要 | 3 | 漏洞首次在2013年11月的定向攻击中作为ASLR绕过机制出现。随着细节披露,可能再次看到攻击。 | 如2013年11月SRD和FireEye博客所述,此漏洞与另一个漏洞一起在主动攻击中使用。MS13-090安全更新完全阻止了这些博客文章中描述的所有攻击。 |
| MS14-009 (.NET Framework) | 最可能被利用的漏洞涉及攻击者发起但不完成对ASP.NET Web应用程序的POST请求,导致资源耗尽拒绝服务。 | 重要 | 1 | 涉及CVE-2014-0253的资源耗尽攻击已在野外进行。 | CVE-2014-0253解决资源耗尽“Slowloris”攻击。CVE-2014-0257解决涉及com对象在进程外运行代码的沙箱逃逸漏洞。CVE-2014-0295解决vsab7rt.dll ASLR绕过,描述见http://www.greyhathacker.net/?p=585。 |
| MS14-008 (Forefront Protection for Exchange) | 代码不太可能被访问。但如果攻击者找到方法,将涉及Forefront Protection for Exchange服务处理恶意电子邮件。 | 关键 | 2 | 不太可能看到针对此漏洞的漏洞利用开发。 | 虽然此漏洞的攻击向量看起来有吸引力(电子邮件),但漏洞不太可能被访问。它通过代码分析内部发现,我们未能成功开发真实世界的漏洞触发器。出于谨慎,我们通过安全更新解决它。 |
| MS14-006 (IPv6) | 与受害者同一子网(IPv6链路本地)的攻击者发送大量恶意路由器广告,导致受害者系统bugcheck。 | 重要 | 3 | 仅拒绝服务。 | 此bugcheck由系统上的看门狗定时器触发,而非内存损坏。影响Windows RT、Windows Server 2012(非R2)和Windows 8(非8.1)。 |
- Jonathan Ness, MSRC
攻击向量
- 浏览恶意网页是主要攻击方式,影响IE、VBScript和DirectWrite。
- 信息泄露和资源耗尽攻击针对MSXML和.NET Framework。
- 电子邮件和本地网络攻击针对Exchange和IPv6。
风险评估
- 关键漏洞(IE、VBScript、DirectWrite)可能在未来30天内被可靠利用,需优先部署。
- 重要漏洞(MSXML、.NET、Exchange、IPv6)风险较低,但需关注资源耗尽和拒绝服务攻击。
- 平台缓解措施包括更新部署和代码分析,以减少攻击面。