安全漏洞周报(2016年5月9日至2016年5月16日)
国家计算机网络入侵防范中心安全漏洞周报:2016年5月2日至2016年5月9日,安全漏洞75个,其中高危漏洞...
微软公司发布的29项安全更新,共修复84个漏洞,11个安全公告等级为“严重”,其余为“重要”。3项安全公告针对Microsoft_Office的漏洞,涉及8个CVE编号漏洞,1项安全公告针对Microsoft_Server_软件的漏洞,涉及1个CVE编号漏洞,25项安全公告针对Microsoft_Windows的漏洞,涉及76个CVE编号漏洞,2项安全公告针对Internet_Explorer的漏洞,涉及27个CVE编号漏洞,3项安全公告针对Microsoft_DNET_Framework的漏洞,涉及5个CVE编号漏洞,2项安全公告针对Microsoft_Silverlight的漏洞,涉及3个CVE编号漏洞,1项安全公告针对Microsoft_Lync的漏洞,涉及2个CVE编号漏洞,此次微软安全公告包括了缓冲区溢出、任意代码执行等漏洞。此次微软发布的安全更新中为严重等级的公告如下,[*]MS15-043 Internet Explorer 的累积性安全更新 (3049563)此安全更新可解决 Internet Explorer 中的漏洞。 最严重的漏洞可能在用户使用 Internet Explorer 查看经特殊设计的网页时允许远程执行代码。 成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。 与拥有管理用户权限的客户相比,帐户被配置为拥有较少系统用户权限的客户受到的影响更小。[*]MS15-044 Microsoft 字体驱动程序中的漏洞可能允许远程执行代码 (3057110)此安全更新可修复 Microsoft Windows、Microsoft .NET Framework、Microsoft Office、Microsoft Lync 和 Microsoft Silverlight 中的漏洞。 如果用户打开经特殊设计的文档或者访问嵌入了 TrueType 字体的不受信任网页,则这些漏洞中最严重的漏洞可能允许远程执行代码。[*]MS15-045 Windows 日记本中的漏洞可能允许远程执行代码 (3046002)
此安全更新可修复 Microsoft Windows 中的漏洞。 如果用户打开经特殊设计的日记文件,漏洞可能允许远程执行代码。 与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。[*]MS15-046 Microsoft Office 中的漏洞可能允许远程执行代码 (3057181)
此安全更新可修复 Microsoft Office 中的漏洞。 最严重的漏洞可能在用户打开经特殊设计的 Microsoft Office 文件时允许远程执行代码。 成功利用这些漏洞的攻击者可以在当前用户的上下文中运行任意代码。 与拥有管理用户权限的客户相比,帐户被配置为拥有较少系统用户权限的客户受到的影响更小。[*]MS15-047 Microsoft SharePoint Server 中的漏洞可能允许远程执行代码 (3058083)
此安全更新可修复 Microsoft Office 服务器软件中的漏洞。 如果经过身份验证的攻击者向 SharePoint 服务器发送经特殊设计的页面内容,则这些漏洞可能允许远程执行代码。 成功利用这些漏洞的攻击者可以在目标 SharePoint 站点的 W3WP 服务帐户的安全上下文中运行任意代码。[*]MS15-048 .NET Framework 中的漏洞可能允许特权提升 (3057134)此安全更新可解决 Microsoft .NET Framework 中的漏洞。 如果用户安装经特殊设计的部分信任应用程序,则最严重的漏洞可能允许特权提升。[*]MS15-049 Silverlight 中的漏洞可能允许特权提升 (3058985) 此安全更新可修复 Microsoft Silverlight 中的漏洞。 如果经特殊设计的 Silverlight 应用程序在受影响的系统上运行,则漏洞可能允许特权提升。 若要利用此漏洞,攻击者必须先登录到系统,或诱使登录用户执行经特殊设计的应用程序。[*]MS15-055 Schannel 中的漏洞可能允许信息泄漏 (3061518) 此安全更新可修复 Microsoft Windows 中的漏洞。 当安全通道 (Schannel) 允许在加密的 TLS 会话中使用 512 位弱 Diffie-Hellman ephemeral (DFE) 密钥长度时,此漏洞可能允许信息泄漏。 允许 512 位 DHE 密钥会使 DHE 密钥交换变弱并容易受到各种攻击。 服务器需要支持 512 位 DHE 密钥长度,攻击才会得逞;Windows 服务器默认配置情况下允许的密钥长度最短为 1024 位。[*]MS15-050 服务控制管理器中的漏洞可能允许特权提升 (3055642) 此安全更新可解决 Windows 服务控制管理器 (SCM) 中的漏洞,当 SCM 未正确验证模拟级别时会出现此漏洞。 如果攻击者先登录系统,然后运行旨在提升特权的经特殊设计的应用程序,此漏洞可能允许特权提升。[*]MS15-052 Windows 内核中的漏洞可能允许绕过安全功能 (3050514) 此安全更新可修复 Microsoft Windows 中的漏洞。 如果攻击者登录受影响的系统并运行经特殊设计的应用程序,此漏洞可能允许安全功能绕过。[*]MS15-053 JScript 和 VBScript 脚本引擎中的漏洞可能允许安全功能绕过 (3057263)
此安全更新可解决 Microsoft Windows 中 JScript 和 VBScript 脚本引擎的 ASLR 安全功能绕过漏洞。 攻击者可以将其中一个 ASLR 绕过漏洞与另一个漏洞(如远程执行代码漏洞)组合使用,在目标系统更可靠地运行任意代码。
针对高危漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护,及时关注并下载更新,注意上网安全,防范黑客攻击。
为了保护用户计算机与系统安全,国家计算机网络入侵防范中心建议用户及时更新补丁程序,补丁可以从软件厂商官方下载,不轻易打开未知网站和来路不明的文件,安装杀毒软件并将病毒库升级到最新。
长按二维码关注“安全张之家”!
备注:本版所载内容全部来源于互联网,
如有侵权,请联系版主,将立即删除!!
关注 安全张之家
微信扫一扫关注公众号
