栏目导航: 首页 > 漏洞预警 > Windows > 内容

微软补丁日(2015-4-14):修复众多高危IE、Windows、Office漏洞

www.hx99.net    时间: 2015-04-17    阅读: 次     整理: 华西安全网

每月第二个周二是微软固定的补丁修复日,微软于本周二(2015-4-14)的“补丁日”上修复了大量漏洞,其中包括众多IE、Windows、Office高危漏洞。

更新公告

MS15-034公告

MS15-034公告上更新了一个高危漏洞,攻击者可在受害者机器上远程执行代码或者提升权限。详细的说就是,一旦攻击者知道了如何创建特制的HTTP请求,他们就会对所有他们知道的web服务器进行扫描,直至找到一个存在漏洞的服务器。这可能和大部分漏洞一样,没有什么特别之处,其实不然,原因一是微软提供的工作环境很有限,当IT管理员测试、调试补丁的时候不能很好的保护他们;二是Windows web服务器上的图标编码。企业惯用的web服务器就是Windows服务器,而且经常会在其上存储一些敏感信息。

受影响的系统版本

Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2;而Windows Server 2003却不受影响。

攻击者会利用该漏洞在受害者IIS web 服务器上用受害者账户运行恶意代码,同时还可以结合本地漏洞提升用户权限,将其变成管理员,从而植入永久性的恶意代码。

MS15-033公告

MS15-033公告中共修复了3个Office软件漏洞,软件版本不同其危险程度也不一样,在Word 2007和Office 2010上被标记为高危,而在Office 2013、SharePoint Server 2013和Office Web Apps Server 2013上则被标记为了危险。

该公告中还修复了Mac版微软Outlook App上的一个跨站脚本漏洞、IE浏览器漏洞、还有Pwn2Own上披露的浏览器漏洞。

MS15-032公告

MS15-032公告中修复了IE上的10个漏洞,其中9个是不同类型的内存泄露漏洞,1个ASLR绕过漏洞。漏洞类型分别有安全功能绕过、权限提升、信息泄露和远程代码执行。

MS15-035公告

MS15-035公告中修复了Windows Enhanced Metafile (EMF)图像中的一个漏洞。如果受害者访问了攻击者伪造的网站,或者打开了一个伪造的文件,或者浏览了一个包含特制Enhanced Metafile (EMF)图像文件的工作目录,就表示进入了攻击者的战营,可导致远程执行恶意代码。

其他补丁更新公告

MS15-036修复了SharePoint Server上的权限提升漏洞
MS15-037修复了Windows Task Scheduler上的权限提升漏洞
MS15-038修复了Windows NTCreate Transaction Manager和MS-DOS上权限提升漏洞
MS15-039修复了XML Core Services上的安全功能绕过漏洞
MS15-040修复了Active Directory Federation Services上的信息泄露漏洞
MS15-041修复了.NET Framework上的信息泄露漏洞
MS15-042修复了Windows Hyper-V上的拒绝服务漏洞

Adobe修复Flash、ColdFusion、Flex漏洞

Flash更新了22个安全漏洞,包括CVE-2015-3043远程代码执行漏洞。

受影响的版本

Adobe Flash Player 17.0.0.134 及其之前版本
Adobe Flash Player 13.0.0.277 及其13.x之前的版本
Adobe Flash Player 11.2.202.451及其11.x之前的版本

ColdFusion修复了一个输入验证漏洞,漏洞编号为CVE-2015-0345。Flex修复了ASDoc工具上的JavaScript输出漏洞,Flex 4.6及其之前版本均受影响。

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭