微軟8月補�。篒E又獨占，Win7/Win8.1中槍

Win7之家（ afsion.com.cn）：微軟8月補�。篒E又獨占，Win7/Win8.1中槍

今天，微軟如期發(fā)布8月份安全更新，受影響的產(chǎn)品涉及Windows、OneNote 2007、SQL Server 2008及以上、SharePoint Server 2013、Windows Media Center TV Pack以及桌面Windows平臺。

本次，微軟推送了9枚安全更新，累計修復(fù)了37枚通用產(chǎn)品漏洞。其中一枚IE累積功能更新補丁修復(fù)了26個可能導(dǎo)致內(nèi)存溢出的漏洞，而且均標(biāo)記為嚴(yán)重安全級別、易受攻擊。

其他安全更新補丁分別修復(fù)了Win7、Win8.1、OneNote 2007等桌面產(chǎn)品。

微軟8月補丁內(nèi)容詳情：

• MS14-051：Internet Explorer積存信息安全更新(2976627)

此信息安全更新可解決Internet Explorer中一項公開揭露的信息安全風(fēng)險，以及二十五項未公開報告的信息安全風(fēng)險。其中最嚴(yán)重的信息安全風(fēng)險，可能在使用者以Internet Explorer檢視蓄意制作的網(wǎng)頁時允許遠(yuǎn)程執(zhí)行程序代碼。成功利用這些信息安全風(fēng)險的攻擊者可以取得與目前使用者相同的用戶權(quán)力。系統(tǒng)上帳戶用戶權(quán)力較低的客戶，其受影響的程度比擁有系統(tǒng)管理權(quán)限的客戶要小。

• MS14-043：Windows Media Center中的信息安全風(fēng)險可能會允許遠(yuǎn)程執(zhí)行程序代碼(2978742)

此信息安全更新可解決Microsoft Windows中一項未公開報告的信息安全風(fēng)險。如果使用者開啟蓄意制作、可呼叫Windows Media Center資源的Microsoft Office檔案，此信息安全風(fēng)險可能會允許遠(yuǎn)程執(zhí)行程序代碼。成功利用此信息安全風(fēng)險的攻擊者可以取得與目前使用者相同的用戶權(quán)力。系統(tǒng)上帳戶用戶權(quán)力較低的客戶，其受影響的程度比擁有系統(tǒng)管理權(quán)限的客戶要小。

• MS14-048：OneNote中的信息安全風(fēng)險可能會允許遠(yuǎn)程執(zhí)行程序代碼(2977201)

此信息安全更新可解決Microsoft OneNote中一項未公開報告的信息安全風(fēng)險。如果在受影響版本的Microsoft OneNote中開啟蓄意制作的檔案，此信息安全風(fēng)險可能會允許遠(yuǎn)程執(zhí)行程序代碼。成功利用此信息安全風(fēng)險的攻擊者可以取得與目前使用者相同的用戶權(quán)力。系統(tǒng)上帳戶用戶權(quán)力較低的客戶，其受影響的程度比擁有系統(tǒng)管理權(quán)限的客戶要小。

• MS14-044：SQL Server中的信息安全風(fēng)險可能會允許提高權(quán)限(2984340)

這個安全性更新可解決Microsoft SQL Server中兩項未公開報告的信息安全風(fēng)險(一個是在SQL Server Master Data Services中，另一個則在SQL Server關(guān)系數(shù)據(jù)庫管理系統(tǒng)中)。這些信息安全風(fēng)險較嚴(yán)重者除了影響SQL Server Master Data Services之外，同時如果使用者瀏覽了蓄意制作的網(wǎng)站，而該網(wǎng)站在使用者的Internet Explorer實例中放入客戶端腳本，這時就可能允許提高權(quán)限。無論如何，攻擊者無法強(qiáng)迫使用者檢視受攻擊者控制的內(nèi)容，而是引誘使用者自行前往。一般的做法是設(shè)法讓用戶點選電子郵件訊息或Instant Messenger中通往攻擊者網(wǎng)站的連結(jié)，或設(shè)法讓他們開啟經(jīng)由電子郵件傳送的附件。

• MS14-045：內(nèi)核模式驅(qū)動程序中的信息安全風(fēng)險可能會允許特權(quán)提升(2984615)

這個信息安全更新可解決Microsoft Windows中三項未公開報告的信息安全風(fēng)險。如果攻擊者登入系統(tǒng)并執(zhí)行蓄意制作的應(yīng)用程序，則最嚴(yán)重的信息安全風(fēng)險可能會允許特權(quán)提升。攻擊者必須擁有有效的登入認(rèn)證，并能夠登入本機(jī)，才能利用這些信息安全風(fēng)險。

• MS14-049：Windows Installer服務(wù)中的信息安全風(fēng)險可能會允許特權(quán)提升(2962490)

此信息安全更新可解決Microsoft Windows中一項未公開揭露的信息安全風(fēng)險。如果攻擊者執(zhí)行蓄意制作的應(yīng)用程序，嘗試修復(fù)先前安裝的應(yīng)用程序，則此信息安全風(fēng)險可能會允許特權(quán)提升。攻擊者必須擁有有效的登入認(rèn)證，并能夠登入本機(jī)，才能利用這項信息安全風(fēng)險。

• MS14-050：在Microsoft SharePoint Server中的信息安全風(fēng)險可能會允許特權(quán)提升(2977202)

這個信息安全更新可解決Microsoft .SharePoint Server中一項未公開報告的信息安全風(fēng)險。成功利用此信息安全風(fēng)險且通過驗證的攻擊者，可在目前SharePoint網(wǎng)站上，以使用者的權(quán)限層級利用蓄意制作的應(yīng)用程序來執(zhí)行任意JavaScript。

• MS14-046：.NET Framework中的信息安全風(fēng)險可能會允許信息安全功能略過(2984625)

這個信息安全更新可解決Microsoft .NET Framework中一項未公開報告的信息安全風(fēng)險。如果用戶造訪蓄意制作的網(wǎng)站，此信息安全風(fēng)險可能會允許信息安全功能略過。在網(wǎng)頁瀏覽攻擊的案例中，成功利用此信息安全風(fēng)險的攻擊者可以略過地址空間隨機(jī)加載(ASLR)安全性功能，而此功能可協(xié)助保護(hù)用戶免于廣泛類別的信息安全風(fēng)險侵?jǐn)_。略過安全性功能本身不會允許執(zhí)行任意程序代碼。但是，攻擊者利用此ASLR略過信息安全風(fēng)險時，可能會搭配另一個利用ASLR略過來執(zhí)行任意程序代碼的信息安全風(fēng)險(例如遠(yuǎn)程執(zhí)行程序代碼信息安全風(fēng)險)。

• MS14-047：LRPC中的信息安全風(fēng)險可能會允許信息安全功能略過(2978668)

此信息安全更新可解決Microsoft Windows中一項未公開報告的信息安全風(fēng)險。如果攻擊者利用此信息安全風(fēng)險搭配另一個會利用ASLR略過來執(zhí)行任意程序代碼的信息安全風(fēng)險(例如遠(yuǎn)程執(zhí)行程序代碼信息安全風(fēng)險)，此信息安全風(fēng)險可能會允許信息安全功能略過。