评估2014年6月安全更新的风险
今天,我们发布了七个安全公告,解决了66个独特的CVE漏洞。其中两个公告的最高严重性评级为“关键”,另外五个为“重要”。下表旨在帮助您根据环境优先部署更新。
| 公告 | 最可能的攻击向量 | 最高公告严重性 | 最高XI | 可能的前30天影响 | 平台缓解措施和关键说明 |
|---|---|---|---|---|---|
| MS14-035 (IE) | 受害者浏览恶意网页。 | 关键 | 1 | 可能在30天内看到可靠漏洞利用开发。 | CVE数量(59)是上个月关注野外利用的结果。这些是针对未受主动攻击的问题的5月和6月修复。 |
| MS14-034 (Word 2007) | 受害者打开恶意Office文档。 | 重要 | 1 | 可能在30天内看到可靠漏洞利用开发。 | 问题在嵌入式字体解析中解决。可通过doc或docx访问。Word 2010及更高版本不受影响。 |
| MS14-036 (GDI+) | 受害者打开恶意图形文件或恶意PowerPoint文档 | 关键 | 1 | 可能在30天内看到可靠漏洞利用开发。 | 问题在EMF+记录类型解析中解决,这是我们最近未看到真实攻击者追求的领域。(因此,表格将Word安全更新排在GDI+更新之前。) |
| MS14-033 (MSXML) | 受害者浏览恶意网页或打开恶意文档,无意中将下载文件的本地路径名发送给攻击者。路径名默认包括用户登录名。 | 重要 | 3 | 不太可能看到信息泄露漏洞的广泛使用。 | 仅信息泄露。 |
| MS14-030 (终端服务) | 在远程桌面会话开始时充当中间人的攻击者可能能够读取信息或篡改RDP会话。 | 重要 | n/a | 不太可能看到允许篡改的漏洞的广泛使用。 | 终端服务NLA功能缓解此漏洞。 |
| MS14-031 (TCP) | 攻击者发起大量带有畸形TCP选项的连接。每个连接暂时消耗非分页池内存的时间比应有的长,导致资源耗尽。 | 重要 | 3 | 不太可能看到仅允许资源耗尽拒绝服务的漏洞的广泛使用。 | 攻击者必须控制TCP选项字段。对于覆盖TCP选项字段的网络基础设施后面的系统,攻击者将无法导致拒绝服务。 |
| MS14-032 (Lync Server XSS) | 受害者点击指向已建立的Lync会议的特制恶意链接。攻击者可以在Lync Server服务的上下文中采取行动,受害者通常有权采取该行动。 | 重要 | 3 | 不太可能看到此漏洞的广泛使用。 | XSS样式漏洞。 |
- Jonathan Ness, MSRC工程团队
攻击向量
- 恶意网页浏览
- 恶意文档打开
- 恶意图形文件或PowerPoint文档
- 信息泄露通过路径名
- 中间人攻击在RDP会话
- TCP连接资源耗尽
- Lync Server XSS漏洞
缓解措施
- 应用相关安全更新
- 使用终端服务NLA功能
- 网络基础设施覆盖TCP选项字段
- 避免点击可疑链接
风险评估
- 关键漏洞(IE和GDI+)可能在30天内被利用
- 重要漏洞利用可能性较低,但仍需及时修补
- 信息泄露和拒绝服务漏洞影响有限
注意: 此博客文章已超过一年。以下提供的信息可能已过时。