微軟8月補(bǔ)丁：IE又獨(dú)占，Win7/Win8.1中槍

Win7之家（ afsion.com.cn）：微軟8月補(bǔ)�。篒E又獨(dú)占，Win7/Win8.1中槍

今天，微軟如期發(fā)布8月份安全更新，受影響的產(chǎn)品涉及Windows、OneNote 2007、SQL Server 2008及以上、SharePoint Server 2013、Windows Media Center TV Pack以及桌面Windows平臺(tái)。

本次，微軟推送了9枚安全更新，累計(jì)修復(fù)了37枚通用產(chǎn)品漏洞。其中一枚IE累積功能更新補(bǔ)丁修復(fù)了26個(gè)可能導(dǎo)致內(nèi)存溢出的漏洞，而且均標(biāo)記為嚴(yán)重安全級(jí)別、易受攻擊。

其他安全更新補(bǔ)丁分別修復(fù)了Win7、Win8.1、OneNote 2007等桌面產(chǎn)品。

微軟8月補(bǔ)丁內(nèi)容詳情：

• MS14-051：Internet Explorer積存信息安全更新(2976627)

此信息安全更新可解決Internet Explorer中一項(xiàng)公開揭露的信息安全風(fēng)險(xiǎn)，以及二十五項(xiàng)未公開報(bào)告的信息安全風(fēng)險(xiǎn)。其中最嚴(yán)重的信息安全風(fēng)險(xiǎn)，可能在使用者以Internet Explorer檢視蓄意制作的網(wǎng)頁(yè)時(shí)允許遠(yuǎn)程執(zhí)行程序代碼。成功利用這些信息安全風(fēng)險(xiǎn)的攻擊者可以取得與目前使用者相同的用戶權(quán)力。系統(tǒng)上帳戶用戶權(quán)力較低的客戶，其受影響的程度比擁有系統(tǒng)管理權(quán)限的客戶要小。

• MS14-043：Windows Media Center中的信息安全風(fēng)險(xiǎn)可能會(huì)允許遠(yuǎn)程執(zhí)行程序代碼(2978742)

此信息安全更新可解決Microsoft Windows中一項(xiàng)未公開報(bào)告的信息安全風(fēng)險(xiǎn)。如果使用者開啟蓄意制作、可呼叫Windows Media Center資源的Microsoft Office檔案，此信息安全風(fēng)險(xiǎn)可能會(huì)允許遠(yuǎn)程執(zhí)行程序代碼。成功利用此信息安全風(fēng)險(xiǎn)的攻擊者可以取得與目前使用者相同的用戶權(quán)力。系統(tǒng)上帳戶用戶權(quán)力較低的客戶，其受影響的程度比擁有系統(tǒng)管理權(quán)限的客戶要小。

• MS14-048：OneNote中的信息安全風(fēng)險(xiǎn)可能會(huì)允許遠(yuǎn)程執(zhí)行程序代碼(2977201)

此信息安全更新可解決Microsoft OneNote中一項(xiàng)未公開報(bào)告的信息安全風(fēng)險(xiǎn)。如果在受影響版本的Microsoft OneNote中開啟蓄意制作的檔案，此信息安全風(fēng)險(xiǎn)可能會(huì)允許遠(yuǎn)程執(zhí)行程序代碼。成功利用此信息安全風(fēng)險(xiǎn)的攻擊者可以取得與目前使用者相同的用戶權(quán)力。系統(tǒng)上帳戶用戶權(quán)力較低的客戶，其受影響的程度比擁有系統(tǒng)管理權(quán)限的客戶要小。

• MS14-044：SQL Server中的信息安全風(fēng)險(xiǎn)可能會(huì)允許提高權(quán)限(2984340)

這個(gè)安全性更新可解決Microsoft SQL Server中兩項(xiàng)未公開報(bào)告的信息安全風(fēng)險(xiǎn)(一個(gè)是在SQL Server Master Data Services中，另一個(gè)則在SQL Server關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)中)。這些信息安全風(fēng)險(xiǎn)較嚴(yán)重者除了影響SQL Server Master Data Services之外，同時(shí)如果使用者瀏覽了蓄意制作的網(wǎng)站，而該網(wǎng)站在使用者的Internet Explorer實(shí)例中放入客戶端腳本，這時(shí)就可能允許提高權(quán)限。無論如何，攻擊者無法強(qiáng)迫使用者檢視受攻擊者控制的內(nèi)容，而是引誘使用者自行前往。一般的做法是設(shè)法讓用戶點(diǎn)選電子郵件訊息或Instant Messenger中通往攻擊者網(wǎng)站的連結(jié)，或設(shè)法讓他們開啟經(jīng)由電子郵件傳送的附件。

• MS14-045：內(nèi)核模式驅(qū)動(dòng)程序中的信息安全風(fēng)險(xiǎn)可能會(huì)允許特權(quán)提升(2984615)

這個(gè)信息安全更新可解決Microsoft Windows中三項(xiàng)未公開報(bào)告的信息安全風(fēng)險(xiǎn)。如果攻擊者登入系統(tǒng)并執(zhí)行蓄意制作的應(yīng)用程序，則最嚴(yán)重的信息安全風(fēng)險(xiǎn)可能會(huì)允許特權(quán)提升。攻擊者必須擁有有效的登入認(rèn)證，并能夠登入本機(jī)，才能利用這些信息安全風(fēng)險(xiǎn)。

• MS14-049：Windows Installer服務(wù)中的信息安全風(fēng)險(xiǎn)可能會(huì)允許特權(quán)提升(2962490)

此信息安全更新可解決Microsoft Windows中一項(xiàng)未公開揭露的信息安全風(fēng)險(xiǎn)。如果攻擊者執(zhí)行蓄意制作的應(yīng)用程序，嘗試修復(fù)先前安裝的應(yīng)用程序，則此信息安全風(fēng)險(xiǎn)可能會(huì)允許特權(quán)提升。攻擊者必須擁有有效的登入認(rèn)證，并能夠登入本機(jī)，才能利用這項(xiàng)信息安全風(fēng)險(xiǎn)。

• MS14-050：在Microsoft SharePoint Server中的信息安全風(fēng)險(xiǎn)可能會(huì)允許特權(quán)提升(2977202)

這個(gè)信息安全更新可解決Microsoft .SharePoint Server中一項(xiàng)未公開報(bào)告的信息安全風(fēng)險(xiǎn)。成功利用此信息安全風(fēng)險(xiǎn)且通過驗(yàn)證的攻擊者，可在目前SharePoint網(wǎng)站上，以使用者的權(quán)限層級(jí)利用蓄意制作的應(yīng)用程序來執(zhí)行任意JavaScript。

• MS14-046：.NET Framework中的信息安全風(fēng)險(xiǎn)可能會(huì)允許信息安全功能略過(2984625)

這個(gè)信息安全更新可解決Microsoft .NET Framework中一項(xiàng)未公開報(bào)告的信息安全風(fēng)險(xiǎn)。如果用戶造訪蓄意制作的網(wǎng)站，此信息安全風(fēng)險(xiǎn)可能會(huì)允許信息安全功能略過。在網(wǎng)頁(yè)瀏覽攻擊的案例中，成功利用此信息安全風(fēng)險(xiǎn)的攻擊者可以略過地址空間隨機(jī)加載(ASLR)安全性功能，而此功能可協(xié)助保護(hù)用戶免于廣泛類別的信息安全風(fēng)險(xiǎn)侵?jǐn)_。略過安全性功能本身不會(huì)允許執(zhí)行任意程序代碼。但是，攻擊者利用此ASLR略過信息安全風(fēng)險(xiǎn)時(shí)，可能會(huì)搭配另一個(gè)利用ASLR略過來執(zhí)行任意程序代碼的信息安全風(fēng)險(xiǎn)(例如遠(yuǎn)程執(zhí)行程序代碼信息安全風(fēng)險(xiǎn))。

• MS14-047：LRPC中的信息安全風(fēng)險(xiǎn)可能會(huì)允許信息安全功能略過(2978668)

此信息安全更新可解決Microsoft Windows中一項(xiàng)未公開報(bào)告的信息安全風(fēng)險(xiǎn)。如果攻擊者利用此信息安全風(fēng)險(xiǎn)搭配另一個(gè)會(huì)利用ASLR略過來執(zhí)行任意程序代碼的信息安全風(fēng)險(xiǎn)(例如遠(yuǎn)程執(zhí)行程序代碼信息安全風(fēng)險(xiǎn))，此信息安全風(fēng)險(xiǎn)可能會(huì)允許信息安全功能略過。