2014年5月安全信息(月度)- MS14-022至MS14-029
日本安全团队 / 2014年5月13日 / 14分钟阅读
2014/5/14 13:00 记载:关于从安全信息MS14-029中的下载链接下载安全更新程序的客户。部分下载链接曾发生错误,现已恢复。此外,对于语言无关的Vista之后的部分安全更新程序,点击下载链接时可能会显示英语下载中心页面。由于语言无关,日语环境也可适用。
2014年5月14日(日本时间),微软公开了共计8项(紧急2项、重要6项)新安全信息。在公开新安全信息的同时,还公开了3项新安全公告,并更新了1项现有安全公告。此外,本月的“恶意软件删除工具”应对了2种新确认的恶意软件。
客户请尽可能早期安装本月公开的安全更新程序。企业客户如需确定安装优先级,建议优先安装MS14-024(Microsoft通用控件)、MS14-025(组策略首选项)以及MS14-029(Internet Explorer)的安全更新程序。
安全信息·安全公告相关主要注意事项
MS14-025(组策略首选项)的安全更新程序不会通过自动更新或Windows Update/Microsoft Update分发。这是因为更新程序会删除组策略设置功能的一部分,需要客户事先验证和确认额外工作的必要性。此外,仅当Windows客户端安装了远程服务器管理工具,或Windows服务器系统配置了组策略管理时,才会受到漏洞影响。受影响的计算机请从Microsoft下载中心或Microsoft Update目录获取并安装安全更新程序。
MS14-029(Internet Explorer)不是包含Internet Explorer过去所有漏洞应对的累积安全更新程序。仅包含MS14-029漏洞应对和MS14-021漏洞应对。因此,在安装MS14-029安全更新程序前,需要安装最新的累积安全更新程序,手动安装时请注意。(5月14日12:30追记:安装顺序并不特别重要)详情请参考安全信息MS14-029的[更新程序相关FAQ]。
新安全公告的公开(3项)
- 安全公告2962824“过期非合规UEFI模块更新程序的汇总”:公开了使UEFI(统一可扩展固件接口)安全启动时可能加载的4个非公开第三方UEFI模块数字签名失效的更新程序。
- 安全公告2871997“改善凭据保护和管理的更新程序”:公开了用于Windows 7、Windows Server 2008 R2、Windows 8、Windows RT和Windows Server 2012的改善凭据保护和域认证控制以减少凭据盗用的更新程序。
- 安全公告2960358“.NET TLS禁用RC4的更新程序”:公开了在传输层安全(TLS)中禁用RC4的Microsoft .NET Framework更新程序。
现有安全公告的更新(1项)
- 安全公告2755801“应对Internet Explorer上Adobe Flash Player漏洞的更新程序”:公开了解决Adobe安全速报APSB14-14中描述的漏洞的更新程序2957151。
2014年5月安全信息一览
可查看各安全信息的概要、各漏洞的恶用可能性指标(Exploitability Index)、更新程序的下载地址等。 https://technet.microsoft.com/ja-jp/library/security/ms14-May
微软针对新确认的漏洞,公开了以下8项新安全信息:
| 安全信息ID | 安全信息标题 | 最大严重度 | 漏洞影响 | 重启必要性 | 受影响软件 |
|---|---|---|---|---|---|
| MS14-022 | Microsoft SharePoint Server的漏洞导致远程代码执行(2952166) | 紧急 | 远程代码执行 | 可能需要重启 | Microsoft SharePoint Server 2007、SharePoint Server 2010、SharePoint Server 2013、Office Web Apps 2010、Office Web Apps 2013、SharePoint Server 2013 Client Components SDK、SharePoint Designer 2007、SharePoint Designer 2010和SharePoint Designer 2013 |
| MS14-023 | Microsoft Office的漏洞导致远程代码执行(2961037) | 重要 | 远程代码执行 | 可能需要重启 | Microsoft Office 2007、Office 2010、Office 2013和Office 2013 RT |
| MS14-024 | Microsoft通用控件的漏洞导致安全功能绕过(2961033) | 重要 | 安全功能绕过 | 可能需要重启 | Microsoft Office 2007、Office 2010、Office 2013和Office 2013 RT |
| MS14-025 | 组策略首选项的漏洞导致权限提升(2962486) | 重要 | 权限提升 | 可能需要重启 | Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012和Windows Server 2012 R2 |
| MS14-026 | .NET Framework的漏洞导致权限提升(2958732) | 重要 | 权限提升 | 可能需要重启 | Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT和Windows RT 8.1上的Microsoft .NET Framework |
| MS14-027 | Windows Shell处理程序的漏洞导致权限提升(2962488) | 重要 | 权限提升 | 需要重启 | Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT和Windows RT 8.1 |
| MS14-028 | iSCSI的漏洞导致服务拒绝(2962485) | 重要 | 服务拒绝 | 可能需要重启 | Windows Server 2008、Windows Server 2008 R2、Windows Server 2012和Windows Server 2012 R2 |
| MS14-029 | Internet Explorer的安全更新程序(2962482) | 紧急 | 远程代码执行 | 需要重启 | Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT和Windows RT 8.1上的Internet Explorer |
通过视频和音频汇总确认最新安全信息
微软安全响应团队面向IT专业人士,通过视频和音频介绍最新安全更新程序要点的本月微软一点安全信息计划于今日下午公开。通过观看可汇总获取最新安全更新程序的适用优先级、重启·规避措施的有无、确认的已知问题等。网络直播公开后,也会在本博客通知。