亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

Microsoft發(fā)布2014年11月安全更新

2014-11-13 10:37:48

安全公告編號(hào):CNTA-2014-0032

11月11日,微軟發(fā)布了2014年11月份的月度例行安全公告,共含15項(xiàng)更新,修復(fù)了Microsoft Windows、Internet Explorer、.NETFramework、Office、Exchange和Server軟件中存在的37個(gè)安全漏洞。

其中,4項(xiàng)更新的綜合評(píng)級(jí)為最高級(jí)“嚴(yán)重”級(jí)別。利用上述漏洞,攻擊者可以遠(yuǎn)程執(zhí)行代碼,提升權(quán)限,繞過(guò)安全功能限制,獲得敏感信息,或進(jìn)行拒絕服務(wù)攻擊。CNVD提醒廣大Microsoft用戶盡快下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

下表所示為了微軟本月安全公告詳情(按嚴(yán)重性排序),更多情況請(qǐng)參閱微軟的官方網(wǎng)站。

公告 ID 公告標(biāo)題和摘要 最高嚴(yán)重等級(jí)和漏洞影響 重新啟動(dòng)要求 受影響的軟件
MS14-064 Windows OLE 中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼 (3011443)
此安全更新可解決 Microsoft Windows 對(duì)象鏈接與嵌入 (OLE) 中兩個(gè)私下報(bào)告的漏洞。 最嚴(yán)重的漏洞可能在用戶使用 Internet Explorer 查看經(jīng)特殊設(shè)計(jì)的網(wǎng)頁(yè)時(shí)允許遠(yuǎn)程執(zhí)行代碼。 成功利用此漏洞的攻擊者可以在當(dāng)前用戶的上下文中運(yùn)行任意代碼。 如果當(dāng)前用戶使用管理用戶權(quán)限登錄,則攻擊者可隨后安裝程序;查看、更改或刪除數(shù)據(jù);或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。 那些帳戶被配置為擁有較少用戶權(quán)限的用戶比具有管理用戶權(quán)限的用戶受到的影響要小。		 嚴(yán)重
遠(yuǎn)程執(zhí)行代碼		 可能要求重新啟動(dòng) Microsoft Windows
MS14-065 Internet Explorer 累積安全更新 (3003057)
此安全更新可解決 Internet Explorer 中的 17 個(gè)私下報(bào)告的漏洞。 最嚴(yán)重的漏洞可能在用戶使用 Internet Explorer 查看經(jīng)特殊設(shè)計(jì)的網(wǎng)頁(yè)時(shí)允許遠(yuǎn)程執(zhí)行代碼。 成功利用這些漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。 那些帳戶被配置為擁有較少系統(tǒng)用戶權(quán)限的客戶比具有管理用戶權(quán)限的客戶受到的影響要小。		 嚴(yán)重
遠(yuǎn)程執(zhí)行代碼		 需要重新啟動(dòng) Microsoft Windows,
Internet Explorer
MS14-066 Schannel 中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼 (2992611)
此安全更新可解決 Windows 中的 Microsoft 安全通道 (Schannel) 安全數(shù)據(jù)包中一個(gè)私下報(bào)告的漏洞。 如果攻擊者向 Windows Server 發(fā)送特殊設(shè)計(jì)的數(shù)據(jù)包,此漏洞可能允許遠(yuǎn)程執(zhí)行代碼。		 嚴(yán)重
遠(yuǎn)程執(zhí)行代碼		 需要重新啟動(dòng) Microsoft Windows
MS14-067 A XML Core Services 中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼 (2993958)
此安全更新可解決 Microsoft Windows 中一個(gè)私下報(bào)告的漏洞。 如果登錄用戶訪問(wèn)設(shè)計(jì)為通過(guò) Internet Explorer 調(diào)用 Microsoft XML Core Services (MSXML) 的經(jīng)特殊設(shè)計(jì)的網(wǎng)站,該漏洞可能允許遠(yuǎn)程執(zhí)行代碼。 但是在所有情況下,攻擊者都無(wú)法強(qiáng)制用戶訪問(wèn)此類網(wǎng)站。 相反,攻擊者必須誘使用戶訪問(wèn)一個(gè)網(wǎng)站,方法通常是讓用戶單擊電子郵件或 Instant Messenger 請(qǐng)求中的鏈接以使用戶鏈接到攻擊者的網(wǎng)站。		 嚴(yán)重
遠(yuǎn)程執(zhí)行代碼		 可能要求重新啟動(dòng) Microsoft Windows
MS14-069 Microsoft Office 中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼 (3009710)
此安全更新可解決 Microsoft Office 中 3 個(gè)私下報(bào)告的漏洞。 如果經(jīng)特殊設(shè)計(jì)的文件在 Microsoft Office 2007 受影響的版本中打開(kāi),則這些漏洞可能允許遠(yuǎn)程執(zhí)行代碼。成功利用此漏洞的攻擊者可能會(huì)獲得與當(dāng)前用戶相同的用戶權(quán)限。 那些帳戶被配置為擁有較少系統(tǒng)用戶權(quán)限的客戶比具有管理用戶權(quán)限的客戶受到的影響要小。		 重要
遠(yuǎn)程執(zhí)行代碼		 可能要求重新啟動(dòng) Microsoft Office
MS14-070 TCP/IP 中的漏洞可能允許特權(quán)提升 (2989935)
此安全更新可解決 TCP/IP 在輸入/輸出控制 (IOCTL) 過(guò)程期間公開(kāi)報(bào)告的漏洞。 果攻擊者登錄系統(tǒng)并運(yùn)行經(jīng)特殊設(shè)計(jì)的應(yīng)用程序,則該漏洞可能允許特權(quán)提升。 成功利用此漏洞的攻擊者可以在另一進(jìn)程的上下文中運(yùn)行任意代碼。 如果此進(jìn)程使用管理員特權(quán)運(yùn)行,則攻擊者可隨后安裝程序;查看、更改或刪除數(shù)據(jù);或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。		 重要
特權(quán)提升		 可能要求重新啟動(dòng) Microsoft Windows
MS14-071 Windows 音頻服務(wù)中的漏洞可能允許特權(quán)提升 (3005607)
此安全更新可解決 Microsoft Windows 中 1 個(gè)私下報(bào)告的漏洞。 如果應(yīng)用程序使用 Microsoft Windows 音頻服務(wù),則該漏洞可能允許特權(quán)提升。 此漏洞本身不允許運(yùn)行任意代碼。 該漏洞必須與允許遠(yuǎn)程執(zhí)行代碼的另一個(gè)漏洞一起使用。		 重要
特權(quán)提升		 需要重新啟動(dòng) Microsoft Windows
MS14-072 .NET Framework 中的漏洞可能允許特權(quán)提升 (3005210)
此安全漏洞可解決 Microsoft .NET Framework 中 1 個(gè)私下報(bào)告的漏洞。 如果攻擊者向使用 .NET Remoting 的受影響的工作站或服務(wù)器發(fā)送經(jīng)特殊設(shè)計(jì)的數(shù)據(jù),則該漏洞可能允許特權(quán)提升。 只有專門設(shè)計(jì)為使用 .NET Remoting 的自定義應(yīng)用程序才會(huì)讓系統(tǒng)受到該漏洞的攻擊。		 重要
特權(quán)提升		 可能要求重新啟動(dòng) Microsoft Windows,
Microsoft .NET Framework
MS14-073 Microsoft SharePoint Foundation 中的漏洞可能允許特權(quán)提升 (3000431)
安全更新可解決 Microsoft SharePoint Server 中 1 個(gè)私下報(bào)告的漏洞。 成功利用此漏洞的經(jīng)過(guò)身份驗(yàn)證的攻擊者可能會(huì)在當(dāng)前 SharePoint 網(wǎng)站上該用戶的上下文中運(yùn)行任意腳本。 在基于 Web 的攻擊情形中,攻擊者可能擁有一個(gè)經(jīng)特殊設(shè)計(jì)的網(wǎng)站,該網(wǎng)站設(shè)計(jì)用于利用這些漏洞,然后說(shuō)服用戶瀏覽此網(wǎng)站。 攻擊者還可能利用受到破壞的網(wǎng)站以及接受或宿主用戶提供的內(nèi)容或廣告的網(wǎng)站。 這些網(wǎng)站可能包含可以利用這些漏洞的特殊設(shè)計(jì)的內(nèi)容。 但是在所有情況下,攻擊者都無(wú)法強(qiáng)制用戶查看由攻擊者控制的內(nèi)容。 相反,攻擊者必須誘使用戶采取行動(dòng),方法通常是讓用戶單擊電子郵件或 Instant Messenger 中的鏈接以使用戶鏈接到攻擊者的網(wǎng)站,或者讓用戶打開(kāi)通過(guò)電子郵件發(fā)送的附件。		 重要
特權(quán)提升		 可能要求重新啟動(dòng) Microsoft Server 軟件
MS14-074 遠(yuǎn)程桌面協(xié)議中的漏洞可能允許繞過(guò)安全功能 (3003743)
此安全更新可解決 Microsoft Windows 中 1 個(gè)私下報(bào)告的漏洞。 當(dāng)遠(yuǎn)程桌面協(xié)議 (RDP) 無(wú)法正確記錄審核事件時(shí),該漏洞可能允許繞過(guò)安全功能。 在任何 Windows 操作系統(tǒng)上,RDP 默認(rèn)為未啟用。 未啟用 RDP 的系統(tǒng)均不存在這一風(fēng)險(xiǎn)。		 重要
繞過(guò)安全功能		 需要重新啟動(dòng) Microsoft Windows
MS14-075 Microsoft Exchange Server 中的漏洞可能允許特權(quán)提升 (3009712)
此安全更新可解決 Microsoft Exchange Server 中 4 個(gè)私下報(bào)告的漏洞。 如果用戶單擊經(jīng)特殊設(shè)計(jì)定向到目標(biāo) Outlook Web Access 網(wǎng)站的 URL,則其中最嚴(yán)重的漏洞可能允許特權(quán)提升。 攻擊者無(wú)法強(qiáng)迫用戶訪問(wèn)經(jīng)特殊設(shè)計(jì)的網(wǎng)站。 相反,攻擊者必須誘使用戶訪問(wèn)該網(wǎng)站,方法通常是讓用戶單擊電子郵件或 Instant Messenger 消息中的鏈接以使用戶鏈接到攻擊者的網(wǎng)站,然后誘使他們單擊經(jīng)特殊設(shè)計(jì)的 URL。		 重要
特權(quán)提升		 可能要求重新啟動(dòng) Microsoft Exchange
MS14-076 Internet Information Services (IIS) 中的漏洞可能允許繞過(guò)安全功能 (2982998)
此安全更新可解決 Microsoft Internet Information Services (IIS) 中 1 個(gè)私下報(bào)告的漏洞,此漏洞可能導(dǎo)致繞過(guò)“IP 和域限制”安全功能。 成功利用此漏洞可能導(dǎo)致來(lái)自受限制或被阻止域的客戶端擁有訪問(wèn)受限制 Web 資源的權(quán)限。		 重要
繞過(guò)安全功能		 可能要求重新啟動(dòng) Microsoft Windows
MS14-077 Active Directory 聯(lián)合身份驗(yàn)證服務(wù)中的漏洞可能允許信息泄露 (3003381)
此安全更新可解決 Active Directory 聯(lián)合身份驗(yàn)證服務(wù) (AD FS) 中 1 個(gè)私下報(bào)告的漏洞。 如果用戶從應(yīng)用程序注銷后未關(guān)閉其瀏覽器,攻擊者在該用戶注銷后立即在瀏覽器中重新打開(kāi)應(yīng)用程序,則該漏洞可能允許信息泄露。		 重要
信息泄露		 可能要求重新啟動(dòng) Microsoft Windows
MS14-078 IME(日語(yǔ))中的漏洞可能允許特權(quán)提升 (3005210)
此安全更新可解決 Microsoft 輸入法編輯器 IME(日語(yǔ))中 1 個(gè)私下報(bào)告的漏洞。 該漏洞可能在安裝了 Microsoft IME(日語(yǔ))的受影響版本的系統(tǒng)上允許基于應(yīng)用程序沙盒策略執(zhí)行沙盒逃離。 成功利用此漏洞的攻擊者可能會(huì)逃離容易受到攻擊的應(yīng)用程序的沙盒,并且使用登錄用戶權(quán)限獲得受影響的系統(tǒng)的訪問(wèn)權(quán)限。 如果受影響的系統(tǒng)使用管理權(quán)限登錄,則攻擊者可隨后安裝程序;查看、更改或刪除數(shù)據(jù);或者創(chuàng)建擁有完全管理權(quán)限的新帳戶。		 中等
特權(quán)提升		 可能要求重新啟動(dòng) Microsoft Windows,
Microsoft Office
MS14-079 內(nèi)核模式驅(qū)動(dòng)程序中的漏洞可能允許拒絕服務(wù) (3002885)
此安全更新可解決 Microsoft Windows 中 1 個(gè)私下報(bào)告的漏洞。 如果攻擊者在網(wǎng)絡(luò)共享中放入經(jīng)特殊設(shè)計(jì)的 TrueType 字體,隨后用戶在 Windows Explorer 中導(dǎo)航到此處,則此漏洞可能允許拒絕服務(wù)。 在基于 Web 的攻擊情形中,攻擊者可能擁有一個(gè)網(wǎng)站,并在上面放置用來(lái)利用此漏洞的網(wǎng)頁(yè)。 另外,接受或宿主用戶提供的內(nèi)容或廣告的網(wǎng)站以及受到破壞的網(wǎng)站可能包含可能利用此漏洞的特殊設(shè)計(jì)的內(nèi)容。 但是在所有情況下,攻擊者都無(wú)法強(qiáng)制用戶訪問(wèn)此類網(wǎng)站。 相反,攻擊者必須說(shuō)服用戶訪問(wèn)該網(wǎng)站,方法通常是讓用戶單擊電子郵件或 Instant Messenger 消息中的鏈接以使用戶鏈接到攻擊者的網(wǎng)站。		 中等
拒絕服務(wù)		 需要重新啟動(dòng) Microsoft Windows

參考信息:https://technet.microsoft.com/library/security/ms14-Nov

信息提供者:微軟

漏洞報(bào)告文檔編寫:

CNVD是CNCERT聯(lián)合國(guó)內(nèi)多家重要信息系統(tǒng)用戶、安全廠商、軟件廠商、互聯(lián)網(wǎng)企業(yè)等共同建立的國(guó)家信息安全漏洞共享平臺(tái),旨在國(guó)內(nèi)建立統(tǒng)一收集、發(fā)布、驗(yàn)證、分析等信息安全漏洞應(yīng)急處置體系。

在發(fā)布漏洞公告信息之前,CNVD都力爭(zhēng)保證每條公告的準(zhǔn)確性和可靠性。然而,采納和實(shí)施公告中的建議則完全由用戶自己決定,其可能引起的問(wèn)題和結(jié) 果也完全由用戶承擔(dān)。是否采納我們的建議取決于您個(gè)人或您企業(yè)的決策,您應(yīng)考慮其內(nèi)容是否符合您個(gè)人或您企業(yè)的安全策略和流程。

我們鼓勵(lì)所有計(jì)算機(jī)與網(wǎng)絡(luò)安全研究機(jī)構(gòu),包括廠商和科研院所,向我們報(bào)告貴單位所發(fā)現(xiàn)的漏洞信息。我們將對(duì)所有漏洞信息進(jìn)行驗(yàn)證并在CNCERT/CC網(wǎng)站和國(guó)家信息安全漏洞共享平臺(tái)(CNVD)公布漏洞信息及指導(dǎo)受影響用戶采取措施以避免損失。

如果您發(fā)現(xiàn)本公告存在任何問(wèn)題,請(qǐng)與我們聯(lián)系:vreport@cert.org.cn