微软“Patch Tuesday”报告发布了2015年5月安全更新情况,其中有三个更新级别为“严重”的修复远程代码执行漏洞;还有十个“重要”级别的补丁,包括四个特权漏洞,两个远程代码执行漏洞,两个安全特性绕过漏洞和一个拒绝服务和信息披露漏洞。
Internet Explorer(IE)的第一个累计安全更新修复了22个漏洞,对受影响的Windows客户端上的所有IE版本具有关键影响,对Windows服务器支持的所有IE版本产生的影响不严重。此次安全更新修改了IE处理内存对象的方式,并且增加了对Web浏览器额外的权限验证。
Qualys公司的工程主管Amol Sarwate表示:“它与IE漏洞有相似的特征——用户使用Internet Explorer浏览恶意网站,而这些恶意网站通常包含恶意字体。”
其中一个重要更新解决了微软Office中的漏洞,纠正了Office处理内存中文件的方式,确保SharePoint服务器准确审查用户的输入。另外的重要更新修复了SharePoint服务器中的漏洞,纠正了SharePoint服务器审查特别页面内容的方式。
2015年5月微软安全更新详情如下:
- 公告 ID:MS15-043 公告标题:Internet Explorer的累积性安全更新 (3049563) 执行摘要:此安需要重启全更新可解决Internet Explorer中的漏洞。最严重的漏洞可能在用户使用Internet Explorer查看经特殊设计的网页时允许远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。与拥有管理用户权限的客户相比,帐户被配置为拥有较少系统用户权限的客户受到的影响更小。 最高严重等级:严重 漏洞影响:远程执行代码 重新启动要求:需要重启 受影响的软件:Microsoft Windows、Internet Explorer
- 公告 ID:MS15-044 公告标题:Microsoft字体驱动程序中的漏洞可能允许远程执行代码 (3057110) 执行摘要:此安全更新可修复Microsoft Windows、Microsoft .NET Framework、Microsoft Office、Microsoft Lync和Microsoft Silverlight中的漏洞。如果用户打开经特殊设计的文档或者访问嵌入了TrueType字体的不受信任网页,则这些漏洞中最严重的漏洞可能允许远程执行代码。 最高严重等级:严重 漏洞影响:远程执行代码 重新启动要求:可能要求重新启动 受影响的软件:Microsoft Windows、Microsoft .NET Framework、Microsoft Office、Microsoft Lync、 Microsoft Silverlight
- 公告 ID:MS15-045 公告标题:Windows日记本中的漏洞可能允许远程执行代码 (3046002) 执行摘要:此安全更新可修复Microsoft Windows中的漏洞。如果用户打开经特殊设计的日记文件,漏洞可能允许远程执行代码。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。 最高严重等级:严重 漏洞影响:远程执行代码 重新启动要求:可能要求重新启动 受影响的软件:Microsoft Windows
- 公告 ID:MS15-046 公告标题:Microsoft Office中的漏洞可能允许远程执行代码 (3057181) 执行摘要:此安全更新可修复Microsoft Office中的漏洞。最严重的漏洞可能在用户打开经特殊设计的 Microsoft Office 文件时允许远程执行代码。成功利用这些漏洞的攻击者可以在当前用户的上下文中运行任意代码。与拥有管理用户权限的客户相比,帐户被配置为拥有较少系统用户权限的客户受到的影响更小。 最高严重等级:重要 漏洞影响:远程执行代码 重新启动要求:可能要求重新启动 受影响的软件:Microsoft Office
- 公告 ID:MS15-047 公告标题:Microsoft SharePoint Server中的漏洞可能允许远程执行代码 (3058083) 执行摘要:此安全更新可修复Microsoft Office服务器软件中的漏洞。如果经过身份验证的攻击者向SharePoint服务器发送经特殊设计的页面内容,则这些漏洞可能允许远程执行代码。 成功利用这些漏洞的攻击者可以在目标SharePoint站点的W3WP服务帐户的安全上下文中运行任意代码。 最高严重等级:重要 漏洞影响:远程执行代码 重新启动要求:可能要求重新启动 受影响的软件:Microsoft Server软件
- 公告 ID:MS15-048 公告标题:.NET Framework中的漏洞可能允许特权提升 (3057134) 执行摘要:此安全更新可解决Microsoft .NET Framework中的漏洞。如果用户安装经特殊设计的部分信任应用程序,则最严重的漏洞可能允许特权提升。 最高严重等级:重要 漏洞影响:特权提升 重新启动要求:可能要求重新启动 受影响的软件:Microsoft Windows、Microsoft .NET Framework
- 公告 ID:MS15-049 公告标题:Silverlight中的漏洞可能允许特权提升 (3058985) 执行摘要:此安全更新可修复Microsoft Silverlight中的漏洞。如果经特殊设计的Silverlight应用程序在受影响的系统上运行,则漏洞可能允许特权提升。若要利用此漏洞,攻击者必须先登录到系统,或诱使登录用户执行经特殊设计的应用程序。 最高严重等级:重要 漏洞影响:特权提升 重新启动要求:无需重新启动 受影响的软件:Microsoft Silverlight
- 公告 ID:MS15-050 公告标题:服务控制管理器中的漏洞可能允许特权提升 (3055642) 执行摘要:此安全更新可解决Windows服务控制管理器 (SCM)中的漏洞,当SCM未正确验证模拟级别时会出现此漏洞。如果攻击者先登录系统,然后运行旨在提升特权的经特殊设计的应用程序,此漏洞可能允许特权提升。 最高严重等级:重要 漏洞影响:特权提升 重新启动要求:需要重启 受影响的软件:Microsoft Windows
- 公告 ID:MS15-051 公告标题:Windows内核模式驱动程序中的漏洞可能允许特权提升 (3057191) 执行摘要:此安全更新可修复Microsoft Windows中的漏洞。攻击者在本地登录并可利用内核模式下运行任意代码,严重的漏洞可能允许特权提升。攻击者可随后安装程序,查看、更改或删除数据;或者可以创建拥有完全用户权限的新账户。远程或匿名用户无法利用此漏洞,攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。 最高严重等级:重要 漏洞影响:特权提升 重新启动要求:需要重启 受影响的软件:Microsoft Winddows
- 公告 ID:MS15-052 公告标题:Windows内核中的漏洞可能允许绕过安全功能 (3050514) 执行摘要:此安全更新可修复Microsoft Windows中的漏洞。如果攻击者登录受影响的系统并运行经特殊设计的应用程序,此漏洞可能允许安全功能绕过。 最高严重等级:重要 漏洞影响:安全功能绕过 重新启动要求:需要重启 受影响的软件:Microsoft Windows
- 公告 ID:MS15-053 公告标题:JScript和VBScript脚本引擎中的漏洞可能允许安全功能绕过 (3057263) 执行摘要:此安全更新可解决Microsoft Windows中JScript和VBScript脚本引擎的ASLR安全功能绕过漏洞。攻击者可以将其中一个ASLR绕过漏洞与另一个漏洞(如远程执行代码漏洞)组合使用,在目标系统更可靠地运行任意代码。 最高严重等级:重要 漏洞影响:安全功能绕过 重新启动要求:可能要求重新启动 受影响的软件:Microsoft Windows
- 公告 ID:MS15-054 公告标题:Microsoft管理控制台文件格式中的漏洞可能允许拒绝服务 (3051768) 执行摘要:此安全更新可修复Microsoft Windows中的漏洞。如果未经身份验证的远程攻击者诱使用户打开包含经特殊设计的 .msc文件的共享,此漏洞可能允许拒绝服务。但是,攻击者无法强迫用户访问共享或查看文件。 最高严重等级:重要 漏洞影响:拒绝服务 重新启动要求:需要重启 受影响的软件:Microsoft Windows
- 公告 ID:MS15-055 公告标题:Schannel中的漏洞可能允许信息泄漏 (3061518) 执行摘要:此安全更新可修复Microsoft Windows中的漏洞。当安全通道 (Schannel)允许在加密的TLS会话中使用512位弱Diffie-Hellman ephemeral (DFE)密钥长度时,此漏洞可能允许信息泄漏。允许512位DHE密钥会使DHE密钥交换变弱并容易受到各种攻击。服务器需要支持512位DHE密钥长度,攻击才会得逞;Windows服务器默认配置情况下允许的密钥长度最短为1024位。 最高严重等级:重要 漏洞影响:信息泄漏 重新启动要求:需要重启 受影响的软件:Microsoft Window
Windows Server 2003中Service Control Manager的漏洞没有获得补丁,微软表示其将需要更改主要架构。这也是在提醒用户要原理老旧的平台,转向使用新的平台。
随着Windows 10的发布,微软将不再在具体的某一天推出更新。用户也将能够根据自己的意愿选择“快速”和“稳定”更新。“这样对安全性十分有利,” Qualys公司的CTO Wolfgang Kandek表示,“对于家庭用户来说,这是非常棒的。对于企业来说,我们将观察用户的接受程度。”
来源:天极软件频道