这两天关注安全的人员都会特别留意这两个新披露的漏洞:CVE-2014-4114 和 CVE-2014-3566。下面我们就针对这两个漏洞最一些简要说明。
CVE-2014-4114
-------------------------
这个漏洞已经在本周发布的MS14-060更新中被修复,我们建议用户尽快部署安装此安全更新来防范相关的潜在威胁。这个漏洞存在于Windows系统对于OLE内嵌对象的处理方式中,因此虽然是一个操作系统层面的漏洞,但最为常见的载体却是Office文档等支持OLE对象的文件。作为缓解措施和安全最佳实践,我们建议所有用户在打开任何来源不明的文档时要特别注意,尽量不要直接打开由陌生人发送或分享的Office、PDF等文档。有关此漏洞的更多技术分析内容,大家可以参考http://www.freebuf.com/news/46956.html。
CVE-2014-3566
-------------------------
在这个漏洞最初被曝光的时候,很多人将其和不久前的OpenSSL心脏出血(Heartbleed)漏洞相提并论,认为其危害性堪比Heartbleed。不过事实的情况并非如此。目前CVE-2014-3566的主要危害是泄露用户在SSL加密通道中的信息,比如cookie等,但攻击者要实现这一攻击首先要在用户的网络环境中能