评估2014年3月安全更新的风险
今天,我们发布了五个安全公告,解决了23个独特的CVE漏洞。其中两个公告的最高严重性评级为“关键”,而其他三个的最高严重性评级为“重要”。我们希望下表能帮助您根据环境优先部署更新。
| 公告 | 最可能的攻击向量 | 最高公告严重性 | 最高可利用性 | 可能的前30天影响 | 平台缓解措施和关键说明 |
|---|---|---|---|---|---|
| MS14-012 (IE) | 受害者浏览恶意网页。 | 关键 | 1 | 可能在30天内看到可靠漏洞利用被开发。 | 解决了安全公告2934088中描述的漏洞,该问题正遭受针对性攻击。 |
| MS14-013 (DirectShow) | 受害者浏览恶意网页。 | 关键 | 3 | 不太可能在30天内看到可靠漏洞利用被开发。 | 解决了qedit.dll中的单个双重释放问题,可通过恶意网页访问。 |
| MS14-014 (Silverlight) | 攻击者将此漏洞与(单独的)代码执行漏洞结合,在浏览器安全上下文中执行任意代码。 | 重要 | n/a | 此漏洞没有直接代码执行的机会。 | 此漏洞不会直接导致代码执行,但攻击者可能使用它来绕过ASLR。 |
| MS14-015 (内核模式驱动程序) | 攻击者以低权限运行代码,运行漏洞利用二进制文件以提升到SYSTEM。 | 重要 | 1 | 可能在30天内看到可靠漏洞利用被开发。 | |
| MS14-016 (安全账户管理器) | 攻击者能够调用安全账户管理器密码API,能够暴力破解密码猜测尝试而不触发账户锁定策略。 | 重要 | n/a | 此漏洞没有直接代码执行的机会。 | 攻击者必须在调用受影响的API之前进行身份验证。验证后,攻击者可以选择猜测自己或其他用户的密码,无锁定风险。 |
- Jonathan Ness, MSRC工程团队
攻击向量
风险评估
上一篇帖子
下一篇帖子
相关帖子
- 评估2014年9月安全更新的风险
- 评估2014年8月安全更新的风险
- 评估2014年7月安全更新的风险