大家好,我是 Richard Chen。微软于北京时间10月13日清晨发布16个安全补丁,其中4个最高级别为严重等级,10个为重要等级,2个为中度等级。本次安全补丁共修复了49个安全漏洞,其中6个为严重等级,受影响的产品除 Windows、Office 和 IE 外,还包括 SharePoint、Microsoft Foundation Class (MFC) Library、.NET Framework 等。
Internet Explorer 的累积性安全更新 (2360131) 此安全更新可解决 Internet Explorer 中七个秘密报告的漏洞和三个公开披露的漏洞。 最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
Media Player 网络共享服务中的漏洞可能允许远程执行代码 (2281679) 此安全更新可解决 Microsoft Windows Media Player 网络共享服务中一个秘密报告的漏洞。 如果攻击者向受影响的系统发送特制的 RTSP 数据包,此漏洞可能允许远程执行代码。 但是,默认情况下,将禁用对家庭媒体的 Internet 访问。 在此默认配置中,仅攻击者位于同一子网中的计算机才可利用此漏洞。
OpenType 字体 (OTF) 格式驱动程序中的漏洞可能允许特权提升 (2279986) 此安全更新可解决 Windows OpenType 字体 (OTF) 格式驱动程序中的两个秘密报告的漏洞。 对于 Windows XP 和 Windows Server 2003 的所有受支持版本,此安全更新等级为“重要”。Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的所有受支持版本不受此漏洞影响。 如果用户查看用特制 OpenType 字体呈现的内容,则此漏洞可能允许特权提升。 攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。 匿名用户无法利用此漏洞,也无法以远程方式利用此漏洞。
Microsoft Word 中的漏洞可能允许远程执行代码 (2293194) 此安全更新可解决 Microsoft Office 中 11 个秘密报告的漏洞。 如果用户打开特制的 Word 文件,这些漏洞可能允许远程执行代码。 成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
Windows 公共控件库中的漏洞可能允许远程执行代码 (2296011) 此安全更新可解决 Windows 公共控件库中一个秘密报告的漏洞。 如果用户访问特制网页,此漏洞可能允许远程执行代码。 如果用户使用管理用户权限登录,成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
Windows Media Player 中的漏洞可能允许远程执行代码 (2378111) 此安全更新可解决 Windows Media Player 中一个秘密报告的漏洞。 如果 Windows Media Player 打开恶意网站上特制的媒体内容,此漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
Windows Shell 和写字板中的 COM 验证漏洞可能允许远程执行代码 (2405882) 此安全更新解决了 Microsoft Windows 中一个秘密报告的漏洞。 如果用户使用写字板打开特制文件,或者选择或打开网络或 WebDAV 共享上的快捷方式文件,则此漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
Windows 本地过程调用中的漏洞可能导致特权提升 (2360937) 此安全更新可解决 Microsoft Windows 中一个公开披露的漏洞。 对于 Windows XP 和 Windows Server 2003 的所有受支持版本,此安全更新等级为“重要”。Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的所有受支持版本不受此漏洞影响。 如果攻击者登录受影响的系统并运行将 LPC 消息发送给本地 LRPC 服务器的特制代码,则此漏洞可能允许特权提升。 此消息然后可能允许经身份验证的用户访问正在 NetworkService 帐户上下文中运行的资源。 攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。
Windows 共享群集磁盘中的漏洞可能允许篡改 (2294255) 此安全更新可解决在用作共享故障转移群集时的 Windows Server 2008 R2 中一个秘密报告的漏洞。 此漏洞可能允许篡改故障转移群集磁盘管理共享上的数据。 默认情况下,Windows Server 2008 R2 服务器不受此漏洞影响。 此漏洞仅适用于故障转移群集中使用的群集磁盘。
大家好,我是 Richard Chen。微软于北京时间10月13日清晨发布16个安全补丁,其中4个最高级别为严重等级,10个为重要等级,2个为中度等级。本次安全补丁共修复了49个安全漏洞,其中6个为严重等级,受影响的产品除 Windows、Office 和 IE 外,还包括 SharePoint、Microsoft Foundation Class (MFC) Library、.NET Framework 等。本次补丁数量较多, 大家请根据补丁严重性程度、利用指数和自身环境综合考量部署顺序。MS10-071