Microsoft安全公告MS14-085 - 重要
图形组件中的漏洞可能允许信息泄露(3013126)
发布日期: 2014年12月9日
版本: 1.0
执行摘要
此安全更新解决Microsoft Windows中一个公开披露的漏洞。如果用户浏览包含特制JPEG内容的网站,该漏洞可能允许信息泄露。攻击者可能利用此信息泄露漏洞获取系统信息,然后结合其他攻击来危害系统。信息泄露漏洞本身不允许任意代码执行。但是,攻击者可能将此信息泄露漏洞与其他漏洞结合使用,以绕过地址空间布局随机化(ASLR)等安全功能。
此安全更新对所有受支持的Microsoft Windows版本评级为"重要"。有关更多信息,请参阅"受影响的软件"部分。
该更新通过更改JPEG图像解码时内存初始化和管理的方式来修复漏洞。有关漏洞的更多信息,请参阅"漏洞信息"部分。
有关此文档的更多信息,请参阅Microsoft知识库文章3013126。
受影响的软件
以下软件版本或版本受到影响。未列出的版本要么已超过其支持生命周期,要么不受影响。要确定软件版本或版本的支持生命周期,请参阅Microsoft支持生命周期。
操作系统
| 操作系统 | 最大安全影响 | 总体严重性评级 | 替换的更新 |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2003 x64 Edition Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2003 with SP2 for Itanium-based Systems (3013126) | 信息泄露 | 重要 | 无 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Vista x64 Edition Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 | |||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 for x64-based Systems Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 for Itanium-based Systems Service Pack 2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows 7 | |||
| Windows 7 for 32-bit Systems Service Pack 1 (3013126) | 信息泄露 | 重要 | 无 |
| Windows 7 for x64-based Systems Service Pack 1 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 (3013126) | 信息泄露 | 重要 | 无 |
| Windows 8和Windows 8.1 | |||
| Windows 8 for 32-bit Systems (3013126) | 信息泄露 | 重要 | 无 |
| Windows 8 for x64-based Systems (3013126) | 信息泄露 | 重要 | 无 |
| Windows 8.1 for 32-bit Systems (3013126) | 信息泄露 | 重要 | 无 |
| Windows 8.1 for x64-based Systems (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2012和Windows Server 2012 R2 | |||
| Windows Server 2012 (3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2012 R2 (3013126) | 信息泄露 | 重要 | 无 |
| Windows RT和Windows RT 8.1 | |||
| Windows RT1 | 信息泄露 | 重要 | 无 |
| Windows RT 8.11 | 信息泄露 | 重要 | 无 |
| 服务器核心安装选项 | |||
| Windows Server 2008 for 32-bit Systems Service Pack 2(服务器核心安装)(3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 for x64-based Systems Service Pack 2(服务器核心安装)(3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1(服务器核心安装)(3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2012(服务器核心安装)(3013126) | 信息泄露 | 重要 | 无 |
| Windows Server 2012 R2(服务器核心安装)(3013126) | 信息泄露 | 重要 | 无 |
[1]此更新仅通过Windows Update提供。
严重性评级和漏洞标识符
以下严重性评级假设漏洞的潜在最大影响。有关在此安全公告发布后30天内漏洞被利用的可能性(与其严重性评级和安全影响相关)的信息,请参阅12月公告摘要中的可利用性指数。
受影响软件的漏洞严重性评级和最大安全影响
| 受影响的软件 | 图形组件信息泄露漏洞 - CVE-2014-6355 | 总体严重性评级 |
|---|---|---|
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3013126) | 重要\ 信息泄露 | 重要 |
| Windows Server 2003 x64 Edition Service Pack 2 (3013126) | 重要\ 信息泄露 | 重要 |
| Windows Server 2003 with SP2 for Itanium-based Systems (3013126) | 重要\ 信息泄露 | 重要 |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3013126) | 重要\ 信息泄露 | 重要 |
| Windows Vista x64 Edition Service Pack 2 (3013126) | 重要\ 信息泄露 | 重要 |
| Windows Server 2008 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (3013126) | 重要\ 信息泄露 | 重要 |
| Windows Server 2008 for x64-based Systems Service Pack 2 (3013126) | 重要\ 信息泄露 | 重要 |
| Windows Server 2008 for Itanium-based Systems Service Pack 2 (3013126) | 重要\ 信息泄露 | 重要 |
| Windows 7 | ||
| Windows 7 for 32-bit Systems Service Pack 1 (3013126) | 重要\ 信息泄露 | 重要 |
| Windows 7 for x64-based Systems Service Pack 1 (3013126) | 重要\ 信息泄露 | 重要 |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (3013126) | 重要\ 信息泄露 | 重要 |
| Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 (3013126) | 重要\ 信息泄露 | 重要 |
| Windows 8和Windows 8.1 | ||
| Windows 8 for 32-bit Systems (3013126) | 重要\ 信息泄露 | 重要 |
| Windows 8 for x64-based Systems (3013126) | 重要\ 信息泄露 | 重要 |
| Windows 8.1 for 32-bit Systems (3013126) | 重要\ 信息泄露 | 重要 |
| Windows 8.1 for x64-based Systems (3013126) | 重要\ 信息泄露 | 重要 |
| Windows Server 2012和Windows Server 2012 R2 | ||
| Windows Server 2012 (3013126) | 重要\ 信息泄露 | 重要 |
| Windows Server 2012 R2 (3013126) | 重要\ 信息泄露 | 重要 |
| Windows RT和Windows RT 8.1 | ||
| Windows RT (3013126) | 重要\ 信息泄露 | 重要 |
| Windows RT 8.1 (3013126) | 重要\ 信息泄露 | 重要 |
| 服务器核心安装选项 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2(服务器核心安装)(3013126) | 重要\ 信息泄露 | 重要 |
| Windows Server 2008 for x64-based Systems Service Pack 2(服务器核心安装)(3013126) | 重要\ 信息泄露 | 重要 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1(服务器核心安装)(3013126) | 重要\ 信息泄露 | 重要 |
| Windows Server 2012(服务器核心安装)(3013126) | 重要\ 信息泄露 | 重要 |
| Windows Server 2012 R2(服务器核心安装)(3013126) | 重要\ 信息泄露 | 重要 |
漏洞信息
图形组件信息泄露漏洞 - CVE-2014-6355
Microsoft图形组件中存在一个信息泄露漏洞,可能允许攻击者更可靠地预测给定调用堆栈中特定指令的内存偏移。当Microsoft图形组件在内存中处理JPEG图像解码不当时,会导致此漏洞。攻击者可能利用此信息泄露漏洞获取系统信息,然后结合其他攻击来危害系统。信息泄露漏洞本身不允许任意代码执行。但是,攻击者可能将此信息泄露漏洞与其他漏洞结合使用,以绕过地址空间布局随机化(ASLR)等安全功能。安全更新通过更改JPEG图像解码时内存初始化和管理的方式来修复此漏洞。
此漏洞已公开披露。它已被分配通用漏洞和暴露编号CVE-2014-6355。发布此安全公告时,Microsoft未收到任何信息表明此漏洞已被公开用于攻击客户。
缓解因素
Microsoft未识别此漏洞的任何缓解因素。
变通办法
Microsoft未识别此漏洞的任何变通办法。
安全更新部署
有关安全更新部署的信息,请参阅执行摘要中引用的Microsoft知识库文章。
致谢
Microsoft感谢安全社区中那些通过负责任的漏洞披露帮助我们保护客户的努力。有关更多信息,请参阅致谢。
免责声明
Microsoft知识库中提供的信息"按原样"提供,不作任何担保。Microsoft否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation或其供应商都不对任何损害承担责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。有些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。
修订版本
- V1.0(2014年12月9日):公告发布。
页面生成时间:2014-12-03 14:45Z-08:00。