尊龙凯时

    尊龙凯时

    尊龙凯时科技

    • 安全产品与方案

      安全产品与方案

    • 基础设施安全

      基础设施安全

    • 数据安全

      数据安全

    • 云计算安全

      云计算安全

    • 工业互联网安全

      工业互联网安全

    • 物联网安全

      物联网安全

    • 信息技术应用创新

      信息技术应用创新

    • 全部产品

      全部产品

    • 全部解决方案

      全部解决方案

    基础设施安全

    • 政府

      政府

    • 运营商

      运营商

    • 金融

      金融

    • 能源

      能源

    • 交通

      交通

    • 企业

      企业

    • 科教文卫

      科教文卫

    返回列表

    微软发布6月份7个安全公告 修复了66个安全漏洞 (Alert2014-07)

    2014-06-11

    发布者:尊龙凯时科技

    描述:

    微软发布了6月份7个安全公告:MS14-030到MS14-036,修复了Microsoft RDP, TCP协议, MS Lync, MSXML, MS Word, Internet Explorer, MS GDI+中的安全漏洞共计66个,其中包括59个IE浏览器的安全漏洞。
      
      我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受这些漏洞影响,并及时安装补丁。

    分析:

    1、MS14-030
      此更新解决了Microsoft Windows内一个秘密报告的漏洞。如果攻击者在活动RDP会话时可以访问目标系统相同的网络分段,然后发送特制的RDP数据包到目标系统,则该漏洞可导致篡改。
      
      受影响软件:
      Windows 7
      Windows 8
      Windows 8.1
      Windows Server 2012
      Windows Server 2012 R2
      
      漏洞描述:
      
      RDP MAC漏洞 - CVE-2014-0296
      远程桌面协议存在篡改漏洞,可使攻击者修改活动RDP会话的通讯内容。
      
      临时解决方案:
      * 确保在运行Windows 7, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2的系统上启用了“网络级别身份验证”  
      
    2、MS14-031
      此更新解决了Microsoft Windows内1个秘密报告的漏洞。如果攻击者发送一系列特制的数据包到目标系统,该漏洞可导致拒绝服务。
      
      受影响软件:
      Windows Vista
      Windows Server 2008
      Windows 7
      Windows Server 2008 R2  
      Windows 8
      Windows 8.1
      Windows Server 2012
      Windows Server 2012 R2
      Windows RT
      Windows RT 8.1
      
      漏洞描述:
      
      TCP拒绝服务漏洞 - CVE-2014-1811
      Windows TCP/IP网络协议存在拒绝服务漏洞,成功利用此漏洞可造成受影响系统停止响应。
      
    3、MS14-032
      此更新解决了Microsoft Lync Server内1个秘密报告的漏洞。如果用户单击精心构造的会议URL以便加入Lync会议,此漏洞可导致信息泄露。
      
      受影响软件:
      Microsoft Lync Server 2010
      Microsoft Lync Server 2013
      
      漏洞描述:
      
      Lync Server内容过滤漏洞 - CVE-2014-1823  
      Lync Server过滤精心构造的内容失败后存在信息泄露漏洞,成功利用此漏洞可造成在用户浏览器内执行脚本以获取Web会话的信息。
    4、MS14-033
      此更新解决了Microsoft Windows内1个秘密报告的漏洞。如果已登录用户登录了精心构造的网站,该网站的目的就是通过IE调用MSXML,则该漏洞可导致信息泄露。
      
      受影响软件:
      Windows Server 2003 Service Pack 2
      Windows Vista
      Windows Server 2008
      Windows 7
      Windows Server 2008 R2  
      Windows 8
      Windows 8.1
      Windows Server 2012
      Windows Server 2012 R2
      Windows RT
      Windows RT 8.1
      
      漏洞描述:
      
      MSXML实体URI漏洞 - CVE-2014-1816
      Microsoft Windows解析XML内容时存在信息泄露漏洞,可使攻击者未授权访问敏感信息。
      
      临时解决方案:
      * 在IE中禁止使用MSXML 3.0二进制行为。
      * 配置IE在运行AS前提示或在互联网及内联网安全区域内禁用AS。
      * 将互联网及内联网安全区域设置为“高”以阻止ActiveX控件及AS。
        
    5、MS14-034
      此更新解决了Microsoft Office内一个秘密报告的漏洞。如果在受影响Word版本中打开精心构造的文件,此漏洞可允许远程代码执行。
      
      受影响软件:
      Microsoft Office 2007
      Microsoft Office Compatibility Pack Service Pack 3
      
      漏洞描述:
      
      嵌入字体漏洞 – CVE-2014-2778
      Microsoft Office解析某些精心构造的文件时存在远程代码执行漏洞,成功利用后可导致完全控制受影响系统。
      
      临时解决方案:
      * 不要打开从可疑源收到的Office文件或者从信任源意外收到的文件。  
    6、MS14-035
      此更新解决了Internet Explorer内两个公开报告的漏洞和57个秘密报告的漏洞。如果用户用IE查看特制的网页,最严重的漏洞可导致远程代码执行。
      
      受影响软件:
      Internet Explorer 6
      Internet Explorer 7
      Internet Explorer 8
      Internet Explorer 9
      Internet Explorer 10
      Internet Explorer 11  
      
      漏洞描述:
      
      1)TLS服务器证书重新谈判漏洞 - CVE-2014-1771
      
      IE处理TLS会话中的证书谈判方式存在信息泄露漏洞,成功利用此漏洞的攻击者可劫持IE和目标服务器之间经过身份验证的TLS连接。
      
      2)IE信息泄露漏洞 - CVE-2014-1777
      
      IE在验证本地文件安装时存在信息泄露漏洞。
      
      3)IE多个权限提升漏洞:漏洞
      
      IE存在多个权限提升漏洞,成功利用后可提升攻击者在受影响IE版本内的权限。这些漏洞包括:
      Internet Explorer权限提升漏洞:CVE-2014-1764
      Internet Explorer权限提升漏洞: CVE-2014-1778
      Internet Explorer权限提升漏洞: CVE-2014-2777
      
      4)IE内多个内存破坏漏洞  
      Internet Explorer 没有正确访问内存对象,在实现上存在远程代码执行漏洞,成功利用后可破坏内存,在当前用户权限下执行任意代码。这些漏洞包括:  
      IE内存破坏漏洞  CVE-2014-0282
      IE内存破坏漏洞  CVE-2014-1762
      IE内存破坏漏洞  CVE-2014-1769
      IE内存破坏漏洞  CVE-2014-1770
      IE内存破坏漏洞  CVE-2014-1772  
      IE内存破坏漏洞  CVE-2014-1773
      IE内存破坏漏洞  CVE-2014-1774
      IE内存破坏漏洞  CVE-2014-1775
      IE内存破坏漏洞  CVE-2014-1766
      IE内存破坏漏洞  CVE-2014-1779
      IE内存破坏漏洞  CVE-2014-1780
      IE内存破坏漏洞  CVE-2014-1781
      IE内存破坏漏洞  CVE-2014-1782
      IE内存破坏漏洞  CVE-2014-1783
      IE内存破坏漏洞  CVE-2014-1784
      IE内存破坏漏洞  CVE-2014-1785
      IE内存破坏漏洞  CVE-2014-1786
      IE内存破坏漏洞  CVE-2014-1788
      IE内存破坏漏洞  CVE-2014-1789
      IE内存破坏漏洞  CVE-2014-1790
      IE内存破坏漏洞  CVE-2014-1791
      IE内存破坏漏洞  CVE-2014-1792
      IE内存破坏漏洞  CVE-2014-1794
      IE内存破坏漏洞  CVE-2014-1795
      IE内存破坏漏洞  CVE-2014-1796
      IE内存破坏漏洞  CVE-2014-1797
      IE内存破坏漏洞  CVE-2014-1799
      IE内存破坏漏洞  CVE-2014-1800
      IE内存破坏漏洞  CVE-2014-1802
      IE内存破坏漏洞  CVE-2014-1803
      IE内存破坏漏洞  CVE-2014-1804
      IE内存破坏漏洞  CVE-2014-1805
      IE内存破坏漏洞  CVE-2014-2753
      IE内存破坏漏洞  CVE-2014-2754
      IE内存破坏漏洞  CVE-2014-2755
      IE内存破坏漏洞  CVE-2014-2756
      IE内存破坏漏洞  CVE-2014-2757
      IE内存破坏漏洞  CVE-2014-2758
      IE内存破坏漏洞  CVE-2014-2759
      IE内存破坏漏洞  CVE-2014-2760
      IE内存破坏漏洞  CVE-2014-2761
      IE内存破坏漏洞  CVE-2014-2763
      IE内存破坏漏洞  CVE-2014-2764
      IE内存破坏漏洞  CVE-2014-2765
      IE内存破坏漏洞  CVE-2014-2766
      IE内存破坏漏洞  CVE-2014-2767
      IE内存破坏漏洞  CVE-2014-2768
      IE内存破坏漏洞  CVE-2014-2769
      IE内存破坏漏洞  CVE-2014-2770
      IE内存破坏漏洞  CVE-2014-2771
      IE内存破坏漏洞  CVE-2014-2772
      IE内存破坏漏洞  CVE-2014-2773
      IE内存破坏漏洞  CVE-2014-2775
      IE内存破坏漏洞  CVE-2014-2776
      临时解决方案:
      
      * 配置IE在运行AS前提示或在互联网及内联网安全区域内禁用AS。
      * 将互联网及内联网安全区域设置为“高”以阻止ActiveX控件及AS。
      
    7、MS14-036
      此更新解决了Microsoft Windows, Microsoft Office, Microsoft Lync内2个秘密报告的漏洞。如果用户打开精心构造的文件或网页,此漏洞可允许远程代码执行。
      
      受影响软件:
      Windows Server 2003
      Windows Vista
      Windows Server 2008
      Windows 7
      Windows Server 2008 R2  
      Windows 8
      Windows 8.1
      Windows Server 2012
      Windows Server 2012 R2
      Windows RT
      Windows RT 8.1
        
      漏洞描述:
      
      1) Unicode脚本处理器漏洞 - CVE-2014-1817
      受影响组件处理精心构造的字体文件时存在远程代码执行漏洞,成功利用后可允许远程代码执行。
      
      临时解决方案:
      * 禁用WebClient服务。
      * 在防火墙阻止TCP端口139和445
      * 在Windows Explorer内禁用预览窗格和详细信息窗格。
      
      2) GDI+图形解析漏洞 - CVE-2014-1818
      GDI+验证精心构造的图形时存在远程代码执行漏洞,如果用户打开特制的图形,该漏洞可导致远程代码执行。
      
      临时解决方案:
      * 修改注册表关闭源文件处理
      * 在Lync中禁用数据协作
      * 以纯文本读取电子邮件
    厂商状态:
    ==========
    厂商已经发布了相关补丁,请及时使用Windows update安装最新补丁。
    附加信息:
    ==========
    1. http://technet.microsoft.com/security/bulletin/MS14-030
    2. http://technet.microsoft.com/security/bulletin/MS14-031
    3. http://technet.microsoft.com/security/bulletin/MS14-032
    4. http://technet.microsoft.com/security/bulletin/MS14-033
    5. http://technet.microsoft.com/security/bulletin/MS14-034
    6. http://technet.microsoft.com/security/bulletin/MS14-035
    7. http://technet.microsoft.com/security/bulletin/MS14-036


    <<上一篇

    IE VML UAF远程代码执行0day漏洞 (Alert2014-06)

    >>下一篇

    GNU Bash 环境变量远程命令执行漏洞(CVE-2014-6271) (Alert2014-08)

    您的联系方式

    *姓名
    *单位名称
    *联系方式
    *验证码
    提交到邮箱

    购买热线

    • 购买咨询:

      400-818-6868-1

    提交项目需求

    欢迎加入尊龙凯时科技,成为我们的合作伙伴!
    • *请描述您的需求
    • *最终客户名称
    • *项目名称
    • 您感兴趣的产品
    • 项目预算
    您的联系方式
    • *姓名
    • *联系电话
    • *邮箱
    • *职务
    • *公司
    • *城市
    • *行业
    • *验证码
    • 提交到邮箱

    服务支持

    智能客服
    智能客服
    购买/售后技术问题
    盟管家-售后服务系统
    盟管家-售后服务系统
    在线提单|智能问答|知识库
    支持热线
    支持热线
    400-818-6868
    尊龙凯时科技社区
    尊龙凯时科技社区
    资料下载|在线问答|技术交流
    微博
    微博

    微博

    微信
    微信

    微信

    B站
    B站

    B站

    抖音
    抖音

    抖音

    视频号
    视频号

    视频号

    服务热线

    400-818-6868

    服务时间

    7*24小时

    © 2024 NSFOCUS 尊龙凯时科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证48052245号

    尊龙凯时