微软在最新的安全公告(Patch Tuesday update)中,发布了一系列的重要安全补丁,其中包括一个长达19年之久,现在却出现在各种版本的 Windows系统中,甚至远至Windows 95。
安全公告主要包括四个关键补丁,最受关注的是MS14-064。它涉及到微软Windows对象链接和嵌入漏洞。
上个月,微软就已经意识到了这个问题,在犯罪分子使用改进版PowerPoint文件渗透到相关设备的同时,他们就发布过一个快速修复。
从微软发布的完整版本来看,Windows Vista、7、 RT、 RT8.1,8 和8.1都受到了感染。
除此之外,Windows服务器2003、 2008、 2008 R2、2012以及2012 R2也都受到了影响。
微软表示,那些在这个系统上使用Internet Explorer (IE)的人,很有可能会遭受黑客攻击。
微软解释说,“一个成功破解这个漏洞的攻击者,很有可能在当下用户使用的过程中,执行任意代码。”
“如果现在,用户使用管理员身份进行登录,那么攻击者就可以下载程序,查阅、修改或者删除数据,或者创建一个万能权限的新账号。”
“在这个系统上,那些拥有较少权限的用户账号与那些有管理权限的账号相比,可能受到的影响更小。”
这个问题是由IBM X-Force安全部门Robert Freeman发现的。他在一篇博文中指出,微软首次发现这个问题是在今年5月份,令人惊讶的是,这个漏洞居然有18年的历史。
他说,“这个错误代码至少存有19年,在过去的18年中,它一直被远程利用。”
“看看Windows 95的原版代码,问题仍然存在。随着IE 3.0的发布,远程利用是有可能的,因为它被引入了 Visual Basic脚本(VBScript)。”
他说,这些事实表明,在软件中总是能发现安全漏洞,要有明锐的眼光才能找到它们。
“某些方面来说,长期以来这种漏洞已经变得常规化,甚至在同一个Windows library (OleAut32)系统中,其他的一些漏洞被检测出来并修复。”
安全公告还包括不同版本IE的17个补丁,危险程度不等。其中最严重的是,如果一个用户浏览一个特定的IE界面,那么就可能出现远程代码执行。
微软指出,“一个能够成功利用这种漏洞的攻击者,就有可能获得当下用户同样的权限。”
其他关键性的补丁,和微软安全通道安全包和微软XML核心服务3.0有关。
11月份的安全公告还包括,8个重量级补丁,和两个轻微补丁。
微软还希望,这些补丁自己不会带有什么问题,由于发布的代码中存有错误,还公布了上个月的补丁修复。
翻译:蜂房小编
来源:
http://www.v3.co.uk/v3-uk/news/2380911/microsoft-releases-critical-security-fix-for-major-windows-flaw
标签:微软