|
在四月的補(bǔ)丁星期二中�,微軟發(fā)布了一個重大的瀏覽器安全更新,修復(fù)了關(guān)鍵IE漏洞����。此外����,微軟還修復(fù)了一個嚴(yán)重的ActiveX控件,該控件涉及產(chǎn)品眾多�����、影響廣泛�����,攻擊者正積極的以基于瀏覽器的攻擊方式對相關(guān)產(chǎn)品進(jìn)行攻擊。
周二����,微軟公司發(fā)布了六個安全公告,其中包括4個被定為“嚴(yán)重(危急)”級別的公告和兩個被定為“重要”級別的公告�,共解決了其產(chǎn)品線上的11個漏洞。
微軟給予嚴(yán)重級別的IE更新為最高優(yōu)先級���。它影響所有版本的Internet Explorer��,解決了五個漏洞��,網(wǎng)絡(luò)犯罪分子可以在進(jìn)行路過式攻擊(drive-by attacks)時利用這些漏洞從而獲取同受害者相同的權(quán)限����。對于運(yùn)行在Windows服務(wù)器上的IE而言�,該更新被定為“中等”級別。
“一旦更新被發(fā)布����,攻擊者就有能力對該補(bǔ)丁進(jìn)行逆向工程,他們會發(fā)現(xiàn)代碼中哪些東西被更改了��,并找到脆弱的部分�,”端點(diǎn)安全廠商Total Defense公司的威脅研究總監(jiān)Don DeBolt說道�����,“幾天之內(nèi)����,他們應(yīng)該就可以開發(fā)出一個漏洞���。”
DeBolt表示��,對攻擊者來說��,利用受害者的漏洞并不困難�����。使用惡意鏈接或搜索引擎中毒的魚叉式網(wǎng)絡(luò)釣魚攻擊(Spear phishing attacks )是常見的誘騙終端用戶訪問惡意網(wǎng)站的方法。
IE漏洞中有一個關(guān)于瀏覽器打印功能的問題�����,以及各種內(nèi)存和JavaScript處理錯誤����。此次更新修復(fù)了打印功能�����,加強(qiáng)了在瀏覽器地址欄中JavaScript的瀏覽器使用�。微軟感謝TippingPoint的Zero-day Initiative����,VeriSign iDefense公司實(shí)驗(yàn)室和和一些研究人員發(fā)現(xiàn)了編碼錯誤。
ActiveX控件錯誤被廣泛的利用
據(jù)漏洞管理廠商Qualys公司首席技術(shù)官Wolfgang Kandek說��,他們還解決了一個Windows通用控件ActiveX控件(Windows Common Controls ActiveX control )的關(guān)鍵更新����。
微軟表示,該更新禁用易受攻擊的Windows通用控件版本�,并用新版本替換它。它還發(fā)布了知識庫文件�,詳細(xì)介紹了部署更新時可能會遇到的常見問題。ActiveX控件的更新涉及Windows上的Office 2003至2010版本���,SQL Server 2000至2008版本�,BizTalk Server 2002和Commerce Server 2002至2009版本�。它還修復(fù)了微軟的開發(fā)工具,Visual FoxPro 8和Visual Basic 6運(yùn)行系統(tǒng)���。
在博客中�,Kandek寫道,該更新會影響一些不常用的微軟產(chǎn)品���。通過讓受害者訪問針對ActiveX控件的惡意網(wǎng)站�,攻擊者可遠(yuǎn)程瞄準(zhǔn)該漏洞���。
“針對基礎(chǔ)漏洞CVE-2012-0158��,攻擊者將ActiveX控件漏洞嵌入到一個RTF文件中�,誘使目標(biāo)進(jìn)入并打開文件���,最常見的文件形式是電子郵件中的附件���,”Kandek說道,“另一個可能的攻擊媒介是網(wǎng)頁瀏覽����,不過通過上面所提到的任何應(yīng)用程序也都是可以攻擊組件的���。”
微軟還發(fā)布了一個補(bǔ)丁�����,修復(fù)了一個影響所有Windows版本的關(guān)鍵漏洞�����。該WinVerifyTrust簽名驗(yàn)證(Signature Validation)漏洞影響移植可執(zhí)行(portable executable��,PE)文件所使用的Windows功能�。一個精明的攻擊者可以在沒有簽名的情況下,修改現(xiàn)有簽名的可執(zhí)行文件�����,從而完全控制受影響的系統(tǒng)�。
最后一個嚴(yán)重公告解決了微軟.NET框架中的嚴(yán)重漏洞。該更新影響所有支持的.NET框架版本�。參數(shù)驗(yàn)證漏洞是框架驗(yàn)證參數(shù)過程中(把數(shù)據(jù)傳遞給一個函數(shù))的一個錯誤。該漏洞可被攻擊者用來攻擊針對.NET的應(yīng)用程序�����。微軟說���,通過在網(wǎng)絡(luò)廣告或論壇中嵌入惡意代碼��,該漏洞可被用來進(jìn)行路過式攻擊��。
最后����,再來看看微軟發(fā)布的兩個“重要”級別的公告。這兩個公告修復(fù)了統(tǒng)一接入網(wǎng)關(guān)(Unified Access Gateway�,UGA)中的兩個漏洞,和Microsoft Office和Microsoft Works中的一個漏洞�����。 Office Works文件轉(zhuǎn)換器(File Converter)中有一個內(nèi)存錯誤����。該錯誤影響Office 2007和Works 9。此外����,UGA漏洞可以允許來自外部網(wǎng)絡(luò)的未經(jīng)授權(quán)的用戶訪問微軟UAG服務(wù)器的默認(rèn)網(wǎng)站。
本文出自:億恩科技【www.ruiliheng.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)���!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
