微軟5月安全公告修補(bǔ)IE與Office等漏洞

責(zé)任編輯:editor007

2015-05-13 17:37:38

摘自:天極軟件頻道

微軟在補(bǔ)丁星期二發(fā)布了2015年5月安全公告,其中三個(gè)關(guān)鍵更新級(jí)別為“嚴(yán)重”,主要修復(fù)遠(yuǎn)程代碼執(zhí)行漏洞;另外十個(gè)補(bǔ)丁級(jí)別為“重要”,包括兩個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,四個(gè)特權(quán)漏洞

微軟在補(bǔ)丁星期二發(fā)布了2015年5月安全公告,其中三個(gè)關(guān)鍵更新級(jí)別為“嚴(yán)重”,主要修復(fù)遠(yuǎn)程代碼執(zhí)行漏洞;另外十個(gè)補(bǔ)丁級(jí)別為“重要”,包括兩個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,四個(gè)特權(quán)漏洞,兩個(gè)安全特性繞過漏洞以及一個(gè)拒絕服務(wù)和信息披露漏洞。

微軟5月安全公告修補(bǔ)IE、Office等漏洞_天極yesky軟件頻道

Internet Explorer(IE)的第一個(gè)累計(jì)安全更新修復(fù)了22個(gè)漏洞,對受影響的Windows客戶端上的所有IE版本具有關(guān)鍵影響,對Windows服務(wù)器支持的所有IE版本產(chǎn)生的影響不嚴(yán)重。此次安全更新修改了IE處理內(nèi)存對象的方式,并且增加了對Web瀏覽器額外的權(quán)限驗(yàn)證。

Qualys公司的工程主管Amol Sarwate表示:“它與IE漏洞有相似的特征——用戶使用Internet Explorer瀏覽惡意網(wǎng)站,而這些惡意網(wǎng)站通常包含惡意字體。”

其中一個(gè)重要更新解決了微軟Office中的漏洞,糾正了Office處理內(nèi)存中文件的方式,確保SharePoint服務(wù)器準(zhǔn)確審查用戶的輸入。另外的重要更新修復(fù)了SharePoint服務(wù)器中的漏洞,糾正了SharePoint服務(wù)器審查特別頁面內(nèi)容的方式。

2015年5月微軟安全更新詳情如下:

公告 ID:MS15-043
  公告標(biāo)題:Internet Explorer 的累積性安全更新 (3049563)
  執(zhí)行摘要:此安需要重啟全更新可解決 Internet Explorer 中的漏洞。 最嚴(yán)重的漏洞可能在用戶使用 Internet Explorer 查看經(jīng)特殊設(shè)計(jì)的網(wǎng)頁時(shí)允許遠(yuǎn)程執(zhí)行代碼。 成功利用這些漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。 與擁有管理用戶權(quán)限的客戶相比,帳戶被配置為擁有較少系統(tǒng)用戶權(quán)限的客戶受到的影響更小。
  最高嚴(yán)重等級(jí):嚴(yán)重
  漏洞影響:遠(yuǎn)程執(zhí)行代碼
  重新啟動(dòng)要求:需要重啟
  受影響的軟件:Microsoft Windows、Internet Explorer

公告 ID:MS15-044
  公告標(biāo)題:Microsoft 字體驅(qū)動(dòng)程序中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼 (3057110)
  執(zhí)行摘要:此安全更新可修復(fù) Microsoft Windows、Microsoft .NET Framework、Microsoft Office、Microsoft Lync 和 Microsoft Silverlight 中的漏洞。 如果用戶打開經(jīng)特殊設(shè)計(jì)的文檔或者訪問嵌入了 TrueType 字體的不受信任網(wǎng)頁,則這些漏洞中最嚴(yán)重的漏洞可能允許遠(yuǎn)程執(zhí)行代碼。
  最高嚴(yán)重等級(jí):嚴(yán)重
  漏洞影響:遠(yuǎn)程執(zhí)行代碼
  重新啟動(dòng)要求:可能要求重新啟動(dòng)
  受影響的軟件:Microsoft Windows、 Microsoft .NET Framework,Microsoft Office, Microsoft Lync, Microsoft Silverlight

公告 ID:MS15-045
  公告標(biāo)題:Windows 日記本中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼 (3046002)
  執(zhí)行摘要:此安全更新可修復(fù) Microsoft Windows 中的漏洞。 如果用戶打開經(jīng)特殊設(shè)計(jì)的日記文件,漏洞可能允許遠(yuǎn)程執(zhí)行代碼。 與擁有管理用戶權(quán)限的用戶相比,帳戶被配置為擁有較少系統(tǒng)用戶權(quán)限的用戶受到的影響更小。
  最高嚴(yán)重等級(jí):嚴(yán)重
  漏洞影響:遠(yuǎn)程執(zhí)行代碼
  重新啟動(dòng)要求:可能要求重新啟動(dòng)
  受影響的軟件:Microsoft Windows

公告 ID:MS15-046
  公告標(biāo)題:Microsoft Office 中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼 (3057181)
  執(zhí)行摘要:此安全更新可修復(fù) Microsoft Office 中的漏洞。 最嚴(yán)重的漏洞可能在用戶打開經(jīng)特殊設(shè)計(jì)的 Microsoft Office 文件時(shí)允許遠(yuǎn)程執(zhí)行代碼。 成功利用這些漏洞的攻擊者可以在當(dāng)前用戶的上下文中運(yùn)行任意代碼。 與擁有管理用戶權(quán)限的客戶相比,帳戶被配置為擁有較少系統(tǒng)用戶權(quán)限的客戶受到的影響更小。
  最高嚴(yán)重等級(jí):重要
  漏洞影響:遠(yuǎn)程執(zhí)行代碼
  重新啟動(dòng)要求:可能要求重新啟動(dòng)
  受影響的軟件:Microsoft Office

公告 ID:MS15-047
  公告標(biāo)題:Microsoft SharePoint Server 中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼 (3058083)
  執(zhí)行摘要:此安全更新可修復(fù) Microsoft Office 服務(wù)器軟件中的漏洞。 如果經(jīng)過身份驗(yàn)證的攻擊者向 SharePoint 服務(wù)器發(fā)送經(jīng)特殊設(shè)計(jì)的頁面內(nèi)容,則這些漏洞可能允許遠(yuǎn)程執(zhí)行代碼。 成功利用這些漏洞的攻擊者可以在目標(biāo) SharePoint 站點(diǎn)的 W3WP 服務(wù)帳戶的安全上下文中運(yùn)行任意代碼。
  最高嚴(yán)重等級(jí):重要
  漏洞影響:遠(yuǎn)程執(zhí)行代碼
  重新啟動(dòng)要求:可能要求重新啟動(dòng)
  受影響的軟件:Microsoft Server 軟件


  公告 ID:MS15-048
  公告標(biāo)題:.NET Framework 中的漏洞可能允許特權(quán)提升 (3057134)
  執(zhí)行摘要:此安全更新可解決 Microsoft .NET Framework 中的漏洞。 如果用戶安裝經(jīng)特殊設(shè)計(jì)的部分信任應(yīng)用程序,則最嚴(yán)重的漏洞可能允許特權(quán)提升。
  最高嚴(yán)重等級(jí):重要
  漏洞影響:特權(quán)提升
  重新啟動(dòng)要求:可能要求重新啟動(dòng)
  受影響的軟件:Microsoft Windows、
  Microsoft .NET Framework

公告 ID:MS15-049
  公告標(biāo)題:Silverlight 中的漏洞可能允許特權(quán)提升 (3058985)
  執(zhí)行摘要:此安全更新可修復(fù) Microsoft Silverlight 中的漏洞。 如果經(jīng)特殊設(shè)計(jì)的 Silverlight 應(yīng)用程序在受影響的系統(tǒng)上運(yùn)行,則漏洞可能允許特權(quán)提升。 若要利用此漏洞,攻擊者必須先登錄到系統(tǒng),或誘使登錄用戶執(zhí)行經(jīng)特殊設(shè)計(jì)的應(yīng)用程序。
  最高嚴(yán)重等級(jí):重要
  漏洞影響:特權(quán)提升
  重新啟動(dòng)要求:無需重新啟動(dòng)
  受影響的軟件:Microsoft Silverlight

公告 ID:MS15-050
  公告標(biāo)題:服務(wù)控制管理器中的漏洞可能允許特權(quán)提升 (3055642)
  執(zhí)行摘要:此安全更新可解決 Windows 服務(wù)控制管理器 (SCM) 中的漏洞,當(dāng) SCM 未正確驗(yàn)證模擬級(jí)別時(shí)會(huì)出現(xiàn)此漏洞。 如果攻擊者先登錄系統(tǒng),然后運(yùn)行旨在提升特權(quán)的經(jīng)特殊設(shè)計(jì)的應(yīng)用程序,此漏洞可能允許特權(quán)提升。
  最高嚴(yán)重等級(jí):重要
  漏洞影響:特權(quán)提升
  重新啟動(dòng)要求:需要重啟
  受影響的軟件:Microsoft Windows

公告 ID:MS15-051
  公告標(biāo)題:Windows 內(nèi)核模式驅(qū)動(dòng)程序中的漏洞可能允許特權(quán)提升 (3057191)
  執(zhí)行摘要:此安全更新可修復(fù) Microsoft Windows 中的漏洞。 如果攻擊者在本地登錄并可以在內(nèi)核模式下運(yùn)行任意代碼,最嚴(yán)重的漏洞可能允許特權(quán)提升。 攻擊者可隨后安裝程序;查看、更改或刪除數(shù)據(jù);或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。 攻擊者必須擁有有效的登錄憑據(jù)并能本地登錄才能利用此漏洞。 遠(yuǎn)程或匿名用戶無法利用此漏洞。
  最高嚴(yán)重等級(jí):重要
  漏洞影響:特權(quán)提升
  重新啟動(dòng)要求:需要重啟
  受影響的軟件:Microsoft Winddows

公告 ID:MS15-052
  公告標(biāo)題:Windows 內(nèi)核中的漏洞可能允許繞過安全功能 (3050514)
  執(zhí)行摘要:此安全更新可修復(fù) Microsoft Windows 中的漏洞。 如果攻擊者登錄受影響的系統(tǒng)并運(yùn)行經(jīng)特殊設(shè)計(jì)的應(yīng)用程序,此漏洞可能允許安全功能繞過。
  最高嚴(yán)重等級(jí):重要
  漏洞影響:安全功能繞過
  重新啟動(dòng)要求:需要重啟
  受影響的軟件:Microsoft Windows

公告 ID:MS15-053
  公告標(biāo)題:JScript 和 VBScript 腳本引擎中的漏洞可能允許安全功能繞過 (3057263)
  執(zhí)行摘要:此安全更新可解決 Microsoft Windows 中 JScript 和 VBScript 腳本引擎的 ASLR 安全功能繞過漏洞。 攻擊者可以將其中一個(gè) ASLR 繞過漏洞與另一個(gè)漏洞(如遠(yuǎn)程執(zhí)行代碼漏洞)組合使用,在目標(biāo)系統(tǒng)更可靠地運(yùn)行任意代碼。
  最高嚴(yán)重等級(jí):重要
  漏洞影響:安全功能繞過
  重新啟動(dòng)要求:可能要求重新啟動(dòng)
  受影響的軟件:Microsoft Windows

公告 ID:MS15-054
  公告標(biāo)題:Microsoft 管理控制臺(tái)文件格式中的漏洞可能允許拒絕服務(wù) (3051768)
  執(zhí)行摘要:此安全更新可修復(fù) Microsoft Windows 中的漏洞。 如果未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者誘使用戶打開包含經(jīng)特殊設(shè)計(jì)的 .msc 文件的共享,此漏洞可能允許拒絕服務(wù)。 但是,攻擊者無法強(qiáng)迫用戶訪問共享或查看文件。
  最高嚴(yán)重等級(jí):重要
  漏洞影響:拒絕服務(wù)
  重新啟動(dòng)要求:需要重啟
  受影響的軟件:Microsoft Windows

公告 ID:MS15-055
  公告標(biāo)題:Schannel 中的漏洞可能允許信息泄漏 (3061518)
  執(zhí)行摘要:此安全更新可修復(fù) Microsoft Windows 中的漏洞。 當(dāng)安全通道 (Schannel) 允許在加密的 TLS 會(huì)話中使用 512 位弱 Diffie-Hellman ephemeral (DFE) 密鑰長度時(shí),此漏洞可能允許信息泄漏。 允許 512 位 DHE 密鑰會(huì)使 DHE 密鑰交換變?nèi)醪⑷菀资艿礁鞣N攻擊。 服務(wù)器需要支持 512 位 DHE 密鑰長度,攻擊才會(huì)得逞;Windows 服務(wù)器默認(rèn)配置情況下允許的密鑰長度最短為 1024 位。
  最高嚴(yán)重等級(jí):重要
  漏洞影響:信息泄漏
  重新啟動(dòng)要求:需要重啟
  受影響的軟件:Microsoft Window

Windows Server 2003中Service Control Manager的漏洞沒有獲得補(bǔ)丁,微軟表示其將需要更改主要架構(gòu)。這也是在提醒用戶要原理老舊的平臺(tái),轉(zhuǎn)向使用新的平臺(tái)。

隨著Windows 10的發(fā)布,微軟將不再在具體的某一天推出更新。用戶也將能夠根據(jù)自己的意愿選擇“快速”和“穩(wěn)定”更新。“這樣對安全性十分有利,” Qualys公司的CTO Wolfgang Kandek表示,“對于家庭用戶來說,這是非常棒的。對于企業(yè)來說,我們將觀察用戶的接受程度。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)