2014年3月のセキュリティ更新プログラムのリスク評価
Japan Security Team
2014年3月11日
4分钟阅读
本文章是Security Research & Defense博客“Assessing risk for the March 2014 security updates”(2014年3月11日发布)的翻译版本。
今天我们发布了5个安全公告,解决了23个CVE。其中2个安全公告的最高严重等级为“紧急”,3个为“重要”。为了帮助您确定适用于您环境的最佳更新优先级,请参考下表。
| 安全公告 | 最可能的攻击 | 安全公告最高严重性 | 最高可利用性指标 | 发布30天内的影响 | 平台缓解措施和注意事项 |
|---|---|---|---|---|---|
| MS14-012 (Internet Explorer) | 受害者访问恶意网页。 | 紧急 | 1 | 30天内可能创建利用代码。 | 解决了安全公告2934088中描述的针对性攻击中的问题点。 |
| MS14-013 (DirectShow) | 受害者访问恶意网页。 | 紧急 | 3 | 30天内创建利用代码的可能性较低。 | 解决了恶意网页可访问的qedit.dll中的一个双重释放漏洞。 |
| MS14-014 (Silverlight) | 攻击者将此漏洞与(另一个)代码执行漏洞结合,以在浏览器安全上下文中执行任意代码。 | 重要 | 无 | 此漏洞不会直接执行代码。 | 此漏洞不直接执行代码。但攻击者可能利用组件绕过ASLR。 |
| MS14-015 (内核模式驱动程序) | 以低权限运行代码的攻击者执行利用二进制文件以提升到SYSTEM权限。 | 重要 | 1 | 30天内可能创建利用代码。 | 无 |
| MS14-016 (安全账户管理器) | 能够调用安全账户管理器密码API的攻击者可以随机猜测密码,而不会触发账户锁定策略。 | 重要 | 无 | 此漏洞不会直接执行代码。 | 攻击者在调用受影响API前必须进行身份验证。验证后,可以无锁定风险地猜测自己的密码或用户密码。 |
Jonathan Ness,MSRC工程团队
安全公告
风险评估