下午,Microsoft发布了八个安全公告,解决了Windows,Internet Explorer和Exchange等许多服务中的23个漏洞。 其中,三个具有最高的“严重”评级,其余标记为“重要”。
对于希望优先考虑修补程序的用户,Microsoft建议重点关注MS13-059和MS13-060。 也就是说,您应该尽快修补所有内容。
字体攻击和IE漏洞
在这两个公告中,公告059是Internet Explorer的累积性安全更新,涵盖了11个秘密披露的漏洞。 微软写道:“如果用户使用Internet Explorer查看特制网页,则最严重的漏洞可能允许远程执行代码。” “成功利用这些漏洞中最严重的攻击者可以获得与当前用户相同的用户权限。”
BeyondTrust的CTO Marc Maiffret解释说:“单独地,该漏洞不允许执行代码,而是与另一个漏洞结合使用以获得具有用户权限的代码执行。”
IE更新也值得注意,其中包括对VUPEN Security在2013 pwn2own竞赛中使用的漏洞的修复。 看到? 所有的竞争都取得了回报。
公告060与Unicode脚本处理器中的漏洞有关,基本上允许攻击者使用字体渲染作为攻击媒介。 我们在上个月的补丁星期二更新中看到了类似的问题。
Qualys的首席技术官Wolfgang Kandek向SecurityWatch解释说:“字体是在内核级别绘制的,因此,如果您能以某种方式影响字体的绘制并使其溢出,则可以。” 坎德克说,这可以使攻击者控制受害者的计算机。
尽管仅限于Windows XP中的Bangali字体,但此漏洞特别令人不安,因为if提供了许多不同的攻击途径。 Qualys漏洞实验室主任Amol Sarwate说:“这是一个非常诱人的攻击媒介。” 攻击者所需要做的就是将受害者定向到文档,电子邮件或恶意网页上,以利用此漏洞。
严重的交换漏洞
第三个重要公告与Microsoft Exchange服务器上的远程代码执行有关。 Kandek告诉SecurityWatch,攻击者可以利用专门创建的PDF文件来利用这三个漏洞,当查看该文件(而不是下载文件)时,将攻击受害者的邮件服务器。
以前,这些漏洞是由构成受影响组件的Oracle披露的。 值得庆幸的是,尚未发现任何执行情况,但过去曾多次修补类似问题。 Maiffret写道,其中两个漏洞是“在WebReady Document Viewing功能内,我们在过去的一年中多次修补该漏洞(MS12-058,MS12-080和MS13-012)。Oracle继续为Microsoft和Exchange提供了一个漏洞。始终如一的黑眼睛。”
Kandek指出:“在该软件组件中找到漏洞非常容易”,用户除修补软件外,还应考虑关闭此功能。 这样做将迫使用户下载邮件附件以进行查看,这对于安全性而言可能是一个很小的代价。
本月的补丁程序列表中还有一些其他优点,包括IPv6漏洞,特权提升,拒绝服务和信息泄露漏洞。 当每个人都开始打补丁时,我们将为下个月的漏洞修复做准备。
