2014年7月14日 星期一

微軟修補24個IE漏洞!

微軟修補24個IE漏洞!

最嚴重的可能讓IE用戶在瀏覽被植入惡意程式的網頁時遭遠端執行程式碼攻擊,受影響版本包括Windows及Windows Server的IE6到IE11,在Windows終端上風險為重大,不過在伺服器端上為中度風險。微軟並呼籲,Windows 7到8.1的用戶最好升級到安全性最高的IE 11。


微軟在本月的定期安全更新中發佈六項安全公告,修補IE及Windows產品共29項漏洞,其中包含24項IE安全漏洞。

六項安全公告中有二項為重大、三項為重要,另一項則為中度。二項重大安全更新中,MS14-037修補了IE一項已公開的安全漏洞及23項未公開的漏洞,全部都和IE記憶體損毀有關。微軟指出,最嚴重的可讓IE用戶在瀏覽被植入惡意程式的網頁時遭遠端執行程式碼攻擊,受影響版本包括Windows及Windows Server的IE6到IE11,在Windows終端上風險為重大,不過在伺服器端上為中度風險。微軟並呼籲,Windows 7到8.1的用戶最好升級到安全性最高的IE 11。

MS14-038則修補了Windows Journal中一項未公開的漏洞,如果使用者不慎開啟蓄意製作的筆記本檔案,可能使駭客得以遠端執行程式碼。受影響版本為Windows Vista到8.1等所有支援版本。

三項重要安全公告則全與Windows權限提高有關。MS14-039修補存在於多個版本的Windows漏洞,駭客可利用低完整性程序中的這項漏洞執行螢幕小鍵盤,並上傳惡意程式到受害電腦,進而提升權限等級。MS14-040修補Windows及Windows Server一項附屬功能驅動程式(AFD)漏洞,駭客若能登入電腦,即可利用本漏洞在核心模式下執行任意程式碼並安裝程式、修改資料,取得管理員權限。MS14-041修補的漏洞則來自Windows串流軟體DirectShow處理系統記憶體內物件不當。但駭客需先攻擊另一項低完整性程序中的漏洞,才能利用本漏洞執行特製程式碼,並提高權限。

轉載自《iThome》