海博网_海博测评网_海博网论坛_海博官网论坛_海博论坛网站地址_海博测评

海博网论坛

海博网论坛科技

  • 安全产品与方案

    安全产品与方案
  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

微软发布6月份7个安全公告 修复了66个安全漏洞 (Alert2014-07)

2014-06-11

发布者:海博网论坛科技

描述:

微软发布了6月份7个安全公告:MS14-030到MS14-036,修复了Microsoft RDP, TCP协议, MS Lync, MSXML, MS Word, Internet Explorer, MS GDI+中的安全漏洞共计66个,其中包括59个IE浏览器的安全漏洞。
  
  我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受这些漏洞影响,并及时安装补丁。

分析:

1、MS14-030
  此更新解决了Microsoft Windows内一个秘密报告的漏洞。如果攻击者在活动RDP会话时可以访问目标系统相同的网络分段,然后发送特制的RDP数据包到目标系统,则该漏洞可导致篡改。
  
  受影响软件:
  Windows 7
  Windows 8
  Windows 8.1
  Windows Server 2012
  Windows Server 2012 R2
  
  漏洞描述:
  
  RDP MAC漏洞 - CVE-2014-0296
  远程桌面协议存在篡改漏洞,可使攻击者修改活动RDP会话的通讯内容。
  
  临时解决方案:
  * 确保在运行Windows 7, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2的系统上启用了“网络级别身份验证”  
  
2、MS14-031
  此更新解决了Microsoft Windows内1个秘密报告的漏洞。如果攻击者发送一系列特制的数据包到目标系统,该漏洞可导致拒绝服务。
  
  受影响软件:
  Windows Vista
  Windows Server 2008
  Windows 7
  Windows Server 2008 R2  
  Windows 8
  Windows 8.1
  Windows Server 2012
  Windows Server 2012 R2
  Windows RT
  Windows RT 8.1
  
  漏洞描述:
  
  TCP拒绝服务漏洞 - CVE-2014-1811
  Windows TCP/IP网络协议存在拒绝服务漏洞,成功利用此漏洞可造成受影响系统停止响应。
  
3、MS14-032
  此更新解决了Microsoft Lync Server内1个秘密报告的漏洞。如果用户单击精心构造的会议URL以便加入Lync会议,此漏洞可导致信息泄露。
  
  受影响软件:
  Microsoft Lync Server 2010
  Microsoft Lync Server 2013
  
  漏洞描述:
  
  Lync Server内容过滤漏洞 - CVE-2014-1823  
  Lync Server过滤精心构造的内容失败后存在信息泄露漏洞,成功利用此漏洞可造成在用户浏览器内执行脚本以获取Web会话的信息。
4、MS14-033
  此更新解决了Microsoft Windows内1个秘密报告的漏洞。如果已登录用户登录了精心构造的网站,该网站的目的就是通过IE调用MSXML,则该漏洞可导致信息泄露。
  
  受影响软件:
  Windows Server 2003 Service Pack 2
  Windows Vista
  Windows Server 2008
  Windows 7
  Windows Server 2008 R2  
  Windows 8
  Windows 8.1
  Windows Server 2012
  Windows Server 2012 R2
  Windows RT
  Windows RT 8.1
  
  漏洞描述:
  
  MSXML实体URI漏洞 - CVE-2014-1816
  Microsoft Windows解析XML内容时存在信息泄露漏洞,可使攻击者未授权访问敏感信息。
  
  临时解决方案:
  * 在IE中禁止使用MSXML 3.0二进制行为。
  * 配置IE在运行AS前提示或在互联网及内联网安全区域内禁用AS。
  * 将互联网及内联网安全区域设置为“高”以阻止ActiveX控件及AS。
    
5、MS14-034
  此更新解决了Microsoft Office内一个秘密报告的漏洞。如果在受影响Word版本中打开精心构造的文件,此漏洞可允许远程代码执行。
  
  受影响软件:
  Microsoft Office 2007
  Microsoft Office Compatibility Pack Service Pack 3
  
  漏洞描述:
  
  嵌入字体漏洞 – CVE-2014-2778
  Microsoft Office解析某些精心构造的文件时存在远程代码执行漏洞,成功利用后可导致完全控制受影响系统。
  
  临时解决方案:
  * 不要打开从可疑源收到的Office文件或者从信任源意外收到的文件。  
6、MS14-035
  此更新解决了Internet Explorer内两个公开报告的漏洞和57个秘密报告的漏洞。如果用户用IE查看特制的网页,最严重的漏洞可导致远程代码执行。
  
  受影响软件:
  Internet Explorer 6
  Internet Explorer 7
  Internet Explorer 8
  Internet Explorer 9
  Internet Explorer 10
  Internet Explorer 11  
  
  漏洞描述:
  
  1)TLS服务器证书重新谈判漏洞 - CVE-2014-1771
  
  IE处理TLS会话中的证书谈判方式存在信息泄露漏洞,成功利用此漏洞的攻击者可劫持IE和目标服务器之间经过身份验证的TLS连接。
  
  2)IE信息泄露漏洞 - CVE-2014-1777
  
  IE在验证本地文件安装时存在信息泄露漏洞。
  
  3)IE多个权限提升漏洞:漏洞
  
  IE存在多个权限提升漏洞,成功利用后可提升攻击者在受影响IE版本内的权限。这些漏洞包括:
  Internet Explorer权限提升漏洞:CVE-2014-1764
  Internet Explorer权限提升漏洞: CVE-2014-1778
  Internet Explorer权限提升漏洞: CVE-2014-2777
  
  4)IE内多个内存破坏漏洞  
  Internet Explorer 没有正确访问内存对象,在实现上存在远程代码执行漏洞,成功利用后可破坏内存,在当前用户权限下执行任意代码。这些漏洞包括:  
  IE内存破坏漏洞  CVE-2014-0282
  IE内存破坏漏洞  CVE-2014-1762
  IE内存破坏漏洞  CVE-2014-1769
  IE内存破坏漏洞  CVE-2014-1770
  IE内存破坏漏洞  CVE-2014-1772  
  IE内存破坏漏洞  CVE-2014-1773
  IE内存破坏漏洞  CVE-2014-1774
  IE内存破坏漏洞  CVE-2014-1775
  IE内存破坏漏洞  CVE-2014-1766
  IE内存破坏漏洞  CVE-2014-1779
  IE内存破坏漏洞  CVE-2014-1780
  IE内存破坏漏洞  CVE-2014-1781
  IE内存破坏漏洞  CVE-2014-1782
  IE内存破坏漏洞  CVE-2014-1783
  IE内存破坏漏洞  CVE-2014-1784
  IE内存破坏漏洞  CVE-2014-1785
  IE内存破坏漏洞  CVE-2014-1786
  IE内存破坏漏洞  CVE-2014-1788
  IE内存破坏漏洞  CVE-2014-1789
  IE内存破坏漏洞  CVE-2014-1790
  IE内存破坏漏洞  CVE-2014-1791
  IE内存破坏漏洞  CVE-2014-1792
  IE内存破坏漏洞  CVE-2014-1794
  IE内存破坏漏洞  CVE-2014-1795
  IE内存破坏漏洞  CVE-2014-1796
  IE内存破坏漏洞  CVE-2014-1797
  IE内存破坏漏洞  CVE-2014-1799
  IE内存破坏漏洞  CVE-2014-1800
  IE内存破坏漏洞  CVE-2014-1802
  IE内存破坏漏洞  CVE-2014-1803
  IE内存破坏漏洞  CVE-2014-1804
  IE内存破坏漏洞  CVE-2014-1805
  IE内存破坏漏洞  CVE-2014-2753
  IE内存破坏漏洞  CVE-2014-2754
  IE内存破坏漏洞  CVE-2014-2755
  IE内存破坏漏洞  CVE-2014-2756
  IE内存破坏漏洞  CVE-2014-2757
  IE内存破坏漏洞  CVE-2014-2758
  IE内存破坏漏洞  CVE-2014-2759
  IE内存破坏漏洞  CVE-2014-2760
  IE内存破坏漏洞  CVE-2014-2761
  IE内存破坏漏洞  CVE-2014-2763
  IE内存破坏漏洞  CVE-2014-2764
  IE内存破坏漏洞  CVE-2014-2765
  IE内存破坏漏洞  CVE-2014-2766
  IE内存破坏漏洞  CVE-2014-2767
  IE内存破坏漏洞  CVE-2014-2768
  IE内存破坏漏洞  CVE-2014-2769
  IE内存破坏漏洞  CVE-2014-2770
  IE内存破坏漏洞  CVE-2014-2771
  IE内存破坏漏洞  CVE-2014-2772
  IE内存破坏漏洞  CVE-2014-2773
  IE内存破坏漏洞  CVE-2014-2775
  IE内存破坏漏洞  CVE-2014-2776
  临时解决方案:
  
  * 配置IE在运行AS前提示或在互联网及内联网安全区域内禁用AS。
  * 将互联网及内联网安全区域设置为“高”以阻止ActiveX控件及AS。
  
7、MS14-036
  此更新解决了Microsoft Windows, Microsoft Office, Microsoft Lync内2个秘密报告的漏洞。如果用户打开精心构造的文件或网页,此漏洞可允许远程代码执行。
  
  受影响软件:
  Windows Server 2003
  Windows Vista
  Windows Server 2008
  Windows 7
  Windows Server 2008 R2  
  Windows 8
  Windows 8.1
  Windows Server 2012
  Windows Server 2012 R2
  Windows RT
  Windows RT 8.1
    
  漏洞描述:
  
  1) Unicode脚本处理器漏洞 - CVE-2014-1817
  受影响组件处理精心构造的字体文件时存在远程代码执行漏洞,成功利用后可允许远程代码执行。
  
  临时解决方案:
  * 禁用WebClient服务。
  * 在防火墙阻止TCP端口139和445
  * 在Windows Explorer内禁用预览窗格和详细信息窗格。
  
  2) GDI+图形解析漏洞 - CVE-2014-1818
  GDI+验证精心构造的图形时存在远程代码执行漏洞,如果用户打开特制的图形,该漏洞可导致远程代码执行。
  
  临时解决方案:
  * 修改注册表关闭源文件处理
  * 在Lync中禁用数据协作
  * 以纯文本读取电子邮件
厂商状态:
==========
厂商已经发布了相关补丁,请及时使用Windows update安装最新补丁。
附加信息:
==========
1. http://technet.microsoft.com/security/bulletin/MS14-030
2. http://technet.microsoft.com/security/bulletin/MS14-031
3. http://technet.microsoft.com/security/bulletin/MS14-032
4. http://technet.microsoft.com/security/bulletin/MS14-033
5. http://technet.microsoft.com/security/bulletin/MS14-034
6. http://technet.microsoft.com/security/bulletin/MS14-035
7. http://technet.microsoft.com/security/bulletin/MS14-036


<<上一篇

IE VML UAF远程代码执行0day漏洞 (Alert2014-06)

>>下一篇

GNU Bash 环境变量远程命令执行漏洞(CVE-2014-6271) (Alert2014-08)

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入海博网论坛科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
海博网论坛科技社区
海博网论坛科技社区
资料下载|在线问答|技术交流

© 2024 NSFOCUS 海博网论坛科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证12726944号

网站首页
海博网论坛