评估2014年9月安全更新的风险
今天,我们发布了四个安全公告,解决了42个独特的CVE漏洞。其中一个公告的最高严重性评级为“关键”,其他三个为“重要”。下表旨在帮助您根据环境优先部署更新。
| 公告 | 最可能的攻击向量 | 最高公告严重性 | 最高可利用性指数评级 | 平台缓解措施和关键说明 |
|---|---|---|---|---|
| MS14-052 (IE) | 受害者浏览恶意网页。 | 关键 | 0 | CVE-2013-7331在野外被检测到,作为信息泄露以确定是否安装了EMET或第三方反恶意软件产品,然后再利用其他漏洞。此更新中解决的远程代码执行漏洞未发现受到主动攻击。 |
| MS14-054 (任务计划程序) | 攻击者以低权限运行代码,运行利用二进制文件以提升到SYSTEM。 | 重要 | 1 | |
| MS14-055 (Lync服务器) | 攻击者通过发送恶意构造的SIP邀请请求导致Lync服务器失败。 | 重要 | 3 | 漏洞是远程、未经身份验证的拒绝服务,但攻击者必须首先访问有效Lync服务器会议请求中的信息。 |
| MS14-053 (.NET框架) | 攻击者通过发送恶意构造的HTTP/HTTPS请求导致ASP.NET Web服务器计算资源耗尽拒绝服务。 | 重要 | 3 | 仅当ASP.NET明确安装、启用并在IIS中注册时,系统才会受到影响。 |
- Jonathan Ness, MSRC
攻击向量
- MS14-052: 通过恶意网页进行攻击。
- MS14-054: 低权限代码执行以提升权限。
- MS14-053: 恶意HTTP/HTTPS请求导致拒绝服务。
- MS14-055: 恶意SIP请求导致服务器失败。
风险评估
- MS14-052 被评为关键,因为其攻击向量常见且影响广泛,但当前无已知的主动攻击。
- 其他公告被评为重要,因为攻击需要特定条件或权限,降低了即时风险。
注意: 此博客文章已超过一年,提供的信息可能已过时。