搜尋本站文章

2011年8月11日 星期四

微軟發布 8 月安全公告:修 22 個漏洞,影響 Windows 7!

微軟發布 8 月安全公告,其中含 13 個安全修正,修補 IE、Windows、Visio 和 Visual Studio 等軟體中的 22 個安全漏洞。在 Windows7 Service Pack 1 基礎上運行 IE 9 或 IE 8 的用戶將會收到一個非常重要的安全公告。微軟稱此次將會採用更加先進的技術修補包括最新 IE 瀏覽器和 Windows 操作系統的漏洞問題。


點此查看:Microsoft 安全公告摘要(2011 年 8 月)



Internet Explorer 的累積性安全更新(2559049)
此安全更新可解決 Internet Explorer 中五個秘密報告的漏洞和兩個公開披露的漏洞。最嚴重的漏洞可能在用戶使用 Internet Explorer 查看特製網頁時允許遠程執行代碼。成功利用這些漏洞的攻擊者可以獲得與本地用戶相同的用戶權限。那些帳戶被配置為擁有較少系統用戶權限的用戶比具有管理用戶權限的用戶受到的影響要小。


DNS 服務器中的漏洞可能允許遠程執行代碼(2562485)
此安全更新可解決 Windows DNS 服務器中兩個秘密報告的漏洞。如果攻擊者註冊域、創建 NAPTR DNS 資源記錄,然後將特製 NAPTR 查詢發送到目標 DNS 服務器,則這些漏洞中較為嚴重的漏洞可能允許遠程執行代碼。沒有啟用 DNS 角色的服務器不受威脅。


Data Access Components 中的漏洞可能允許遠程執行代碼(2560656)
此安全更新解決了 Microsoft Windows 中一個秘密報告的漏洞。如果用戶打開與特製庫文件位於同一網絡目錄下的合法 Excel 文件(如:.xlsx 文件),此漏洞可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以獲得與登錄用戶相同的用戶權限。那些帳戶被配置為擁有較少系統用戶權限的用戶比具有管理用戶權限的用戶受到的影響要小。


Microsoft Visio 中的漏洞可能允許遠程執行代碼(2560978)
此安全更新解決 Microsoft Visio 中兩個秘密報告的漏洞。如果用戶打開特製的 Visio 文件,這些漏洞可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以獲得與登錄用戶相同的用戶權限。那些帳戶被配置為擁有較少系統用戶權限的用戶比具有管理用戶權限的用戶受到的影響要小。


路由和遠程訪問中的漏洞可能允許特權提升(2546250)
此安全更新可解決遠程桌面 Web 訪問中一個秘密報告的漏洞。該漏洞是一個跨站點腳本執行(XSS)漏洞,可能允許特權提升,使攻擊者能夠在目標用戶的上下文中在站點上執行任意命令。當瀏覽到 Internet 區域中的遠程桌面 Web 訪問服務器時,Internet Explorer 8 和 Internet Explorer 9 中的 XSS 篩選器可針對其用戶阻止此攻擊。默認情況下,Internet Explorer 8 和Internet Explorer 9 中的 XSS 篩選器在 Intranet 區域中未啟用。


遠程訪問服務器 NDISTAPI 驅動程序中的漏洞可能允許特權提升(2566454)
此安全更新解決了 Windows XP 和 Windows Server 2003 所有受支持的版本中一個秘密報告的漏洞。對於 Windows XP 和 Windows Server 2003 的所有受支持版本,此安全更新的等級為『重要』。Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 不受此漏洞影響。


Windows客戶端/服務器運行時子系統中的漏洞可能允許特權提升(2567680)
此安全更新解決了 Microsoft Windows 中一個秘密報告的漏洞。如果攻擊者登錄受影響的系統,並運行設計為將設備事件消息發送到較高完整性進程的特製應用程序,該漏洞可能允許特權提升。攻擊者必須擁有有效的登錄憑據並能本地登錄才能利用此漏洞。


TCP / IP IP 堆棧中的漏洞可能允許拒絕服務(2563894)
此安全更新可解決 Microsoft Windows 中兩個秘密報告的漏洞。如果攻擊者向目標系統發送一系列特製 Internet 控制消息協議(ICMP)消息,或者向服務於 Web 內容並且啟用了基於 URL 的服務質量(QoS)功能,則該漏洞可能允許拒絕服務。


遠程桌面協議中的漏洞可能允許拒絕服務(2570222)
此安全更新可解決遠程桌面協議中一個秘密報告的漏洞。如果受影響的系統收到一系列特製 RDP 數據包,則此漏洞可能允許拒絕服務。Microsoft 也收到了嘗試利用此漏洞進行有限目標攻擊的報告。默認情況下,任何 Windows 操作系統都未啟用遠程桌面協議(RDP)。


Microsoft Chart 控件中的漏洞可能導致信息洩露(2567943)
此安全更新可消除 Microsoft .NET 圖表控件中的一個秘密報告的漏洞。如果攻擊者向託管圖表控件的受影響服務器發送特製的 GET 請求,則該漏洞可能會導致信息洩露。請注意,攻擊者無法利用此漏洞來執行代碼或直接提升他們的用戶權限,但可用於檢索將試圖進一步危及受影響系統安全的信息。僅使用 Microsoft 圖表控件的 Web 應用程序會受這個問題影響。.NET Framework 的默認安裝不受影響。


Microsoft Report Viewer 中的漏洞可能導致信息洩露(2578230)
此安全更新可解決 Microsoft Report Viewer 中一個秘密報告的漏洞。如果用戶查看特製網頁,則該漏洞可能允許信息洩露。但是在所有情況下,攻擊者無法強制用戶訪問網站。相反,攻擊者必須說服用戶訪問網站,方法通常是讓用戶單擊電子郵件或 Instant Messenger 消息中的鏈接而轉到容易受到攻擊的網站。


Windows Kernel 中的漏洞可能允許拒絕服務(2556532)
此安全更新解決了 Microsoft Windows 中一個秘密報告的漏洞。如果用戶訪問包含特製文件的網路共享(或者訪問指向網路共享的網站),則該漏洞可能允許拒絕服務。但是在所有情況下,攻擊者無法強制用戶訪問此類網路共享或網站。相反,攻擊者必須說服用戶訪問網站或網路共享,方法通常是讓用戶單擊電子郵件或 Instant Messenger 消息中的鏈接。


NET.Framework 中的漏洞可能導致信息洩露(2567951)
此安全更新可解決 Microsoft .NET Framework 中的一個秘密報告的漏洞。如果用戶使用可以運行 XAML 瀏覽器應用程序(XBAP)的 Web 瀏覽器查看特製網頁,則該漏洞可能允許信息洩露。在基於 Web 的攻擊情形中,攻擊者可能擁有一個網站,並在上面放置用來利用此漏洞的網頁。另外,接受或宿主用戶提供的內容或廣告的網站以及受到破壞的網站可能包含可能利用此漏洞的特製內容。但是在所有情況下,攻擊者無法強制用戶訪問這些網站。相反,攻擊者必須誘使用戶訪問該網站,方法通常是讓用戶單擊電子郵件或 Instant Messenger 消息中的鏈接以使用戶鏈接到攻擊者的網站。Windows .NET 應用程序也可能會使用此漏洞繞過代碼訪問安全性(CAS)限制。

===============================================

創用 CC 授權條款
Related Posts Plugin for WordPress, Blogger...

沒有留言:

張貼留言

1、本留言處歡迎多加留言交流,但不歡迎垃圾留言及廣告留言
2、留言時可以使用部份 HTML 標記
3、對於教學文章介紹或軟體使用有問題歡迎提出,若站長沒回應表示不清楚該問題的解決方案
4、留言時請勿留下電子郵件,以免因搜尋引擎爬文而造成您的困擾,且站長不會寄相關郵件給您,僅會在留言區提供解決方案
5.站長保留不當刪除留言的權力,若造成不便尚請見諒