Microsoft补丁程序，即三月补丁程序周二为零日

微软发布了五个补丁程序（两个被评为“严重”，三个被评为“重要”），修复了Internet Explorer，Microsoft Windows和Silverlight中的23个漏洞，这是3月补丁星期二更新的一部分。 IE补丁还关闭了自2月以来一直被利用的零日漏洞攻击者。

上个月，作为“雪人行动”的一部分，攻击者利用了Internet Explorer 10中的关键零时差漏洞（CVE-2014-0322），该漏洞破坏了属于美国对外战争退伍军人的网站，并且在一次模仿法国人的攻击中航空航天制造商。 IE修补程序（MS14-022）和其他17个漏洞都已修复，其中一个已用于针对Internet Explorer 8（CVE-2014-0324）的有限定向攻击中，Microsoft Trustworthy Computing的组经理Dustin Childs ，写在Microsoft安全响应中心博客上。

Childs说：“显然，更新IE应该是您的首要任务。”

Silverlight的问题

另一个重要补丁修补了DirectShow中一个重要的远程代码执行漏洞，并影响了多个版本的Windows。 BeyondTrust的首席技术官Marc Maiffret说，该漏洞在于DirectShow如何解析JPEG图像，从而使利用此漏洞的攻击很可能会将恶意图像插入受感染的网页中或嵌入文档中。 值得注意的是，以非管理员特权运行的用户受到这些攻击的影响较小，因为攻击者受到的损害可能会受到限制。

Silverlight中的安全功能旁路被评为“重要”，但也应具有较高的优先级。 微软表示，攻击者可以通过将用户定向到包含特制Silverlight内容的恶意站点来利用此漏洞。 Maiffret警告说，危险的是，攻击者可以绕过ASLR和DEP，这是通过利用此漏洞而内置于Windows的两种漏洞缓解技术。 绕过ASLR和DEP获得系统控制权后，攻击者可能需要二次攻击才能实现远程代码执行，例如12月修补的ASLR绕过漏洞（MS13-106）。 Maiffret说，虽然目前还没有针对这种缺陷的攻击，但用户应阻止Silverlight在Internet Explorer，Firefox和Chrome中运行，直到应用该补丁为止。 确保还部署了较旧的补丁程序也很重要。

泰勒·雷古利（Tyler Reguly）表示，微软应该放弃Silverlight，因为“由于采用率有限，它会看到很多补丁。” 他补充说，由于微软将至少在2021年之前继续支持它，因此组织应开始从Silverlight迁移，以便“我们都可以卸载Silverlight并有效地提高最终用户系统的安全性”。

其余的Microsoft修补程序

应该尽快而不是稍后应用的另一个补丁是解决一对特权提升漏洞Windows内核模式驱动程序（MS14-014）的补丁，因为它会影响所有受支持的Windows版本（本月仍包括Windows XP）。 微软警告说，要利用此漏洞，攻击者“必须具有有效的登录凭据并能够在本地登录”。

最终补丁修复了安全帐户管理器远程（SAMR）协议中的问题，该协议使攻击者能够强行使用Active Directory帐户，而不会被锁定在该帐户之外。 该修补程序修复了该API调用，以便Windows在受到攻击时可以正确锁定帐户。 Reguly说：“密码尝试锁定策略是专门为防止暴力尝试而设置的，它允许恶意攻击者绕过该策略，从而完全破坏了它提供的保护。”

其他软件更新

这是操作系统更新的一周。 苹果本周早些时候发布了iOS 7.1，而Adobe更新了其Adobe Flash Player（APSB14-08），以解决今天的两个漏洞。 Adobe说，这些问题目前还没有在野外得到利用。

苹果修复了iOS 7中的一些重大问题，其中包括崩溃报告问题（可能使本地用户更改受影响设备上任意文件的权限），内核问题（可能导致系统意外终止或内核中任意代码执行） ，以及允许未经授权的用户绕过受影响设备上的代码签名要求的错误。 苹果还修复了一个漏洞，该漏洞可使攻击者诱使用户通过Enterprise App Download下载恶意应用，而另一个漏洞允许恶意制作的备份文件更改iOS文件系统。