安全更新概览
本日发布7个安全公告,共解决31个CVE漏洞。其中4个公告评级为"紧急",3个为"重要"。
详细风险评估表
| 安全公告 | 最可能攻击方式 | 最高严重等级 | 最高利用指数 | 30天内影响 | 平台缓解措施和注意事项 |
|---|---|---|---|---|---|
| MS14-010(Internet Explorer) | 受害者访问恶意网页 | 紧急 | 1 | 30天内可能出现利用代码 | 单个更新包同时修复内存损坏和权限提升漏洞 |
| MS14-011(VBScript) | 受害者访问恶意网页 | 紧急 | 1 | 30天内可能出现利用代码 | 该漏洞在IE9用户的MS14-010中已包含,已安装IE9的用户无需应用此更新 |
| MS14-007(Direct2D) | 受害者访问恶意网页 | 紧急 | 1 | 30天内可能出现利用代码 | Internet Explorer是该漏洞的攻击向量 |
| MS14-005(MSXML) | 受害者访问恶意网站导致信息泄露 | 重要 | 3 | 2013年11月首次在定向攻击中发现ASLR绕过功能,可能再次出现利用攻击 | 该漏洞曾与其他漏洞组合用于主动攻击,MS13-090更新可完全防御所述攻击 |
| MS14-009(.NET Framework) | 攻击者向ASP.NET应用发起不完整POST请求导致资源耗尽拒绝服务 | 重要 | 1 | CVE-2014-025相关的资源耗尽攻击已在活跃进行中 | CVE-2014-0253修复"Slowloris"攻击,CVE-2014-0257修复COM对象沙箱逃逸,CVE-2014-0295修复vsab7rt.dll ASLR绕过 |
| MS14-008(Forefront Protection for Exchange) | 攻击者可能通过恶意电子邮件消息利用Exchange服务 | 紧急 | 3 | 出现针对性利用代码的可能性较低 | 攻击向量(电子邮件)看似引人注目但实际利用难度大,微软通过预警和更新解决该问题 |
| MS14-006(IPv6) | 同一子网内攻击者发送恶意路由通告导致受害者系统bugcheck | 重要 | 3 | 仅导致拒绝服务 | 该bugcheck非内存损坏引起,由系统看门狗定时器触发,影响Windows RT、Windows Server 2012和Windows 8 |
技术说明
- MS14-005: 该漏洞最初在2013年11月被发现在定向攻击中用于ASLR绕过
- MS14-009: 包含三个独立漏洞修复,涉及资源耗尽、沙箱逃逸和ASLR绕过
- MS14-006: 仅影响特定Windows版本,不影响Windows 8.1和Server 2012 R2
Jonathan Ness, MSRC Engineering