微软补丁日:18个Windows安全公告,关键漏洞占一半-阿里云开发者社区

开发者社区> boxti> 正文

微软补丁日:18个Windows安全公告,关键漏洞占一半

简介:
+关注继续查看

微软3月份发布的Windows安全公告版本比平常内容多是因为其涵盖了两个月的漏洞修复,不过安全专家们业已完成其中一个已知的零日漏洞的补丁处理,且至少有五个漏洞已得到修补并公开于众。

MS17-006、MS17-007和MS17-023是三个常规关键Windows漏洞,分别用于Internet Explorer(IE)、Microsoft Edge和Adobe Flash。本月的九个关键Windows安全公告涵盖这三个,这些漏洞可被远程代码执行(RCE)攻击者利用,应该立即对其进行修补。

Qualys漏洞实验室主任Amol Sarwate表示,公告中解决了三个已被公开披露的漏洞,其中一个(CVE-2017-0037)是上个月由Google Project Zero进行公开披露的。

Sarwate表示本月最高优先级的公告是MS17-013,也是针对一个由Google Project Zero公开的漏洞,是在微软的图形设备接口库发现了问题。波兰的一个项目安全研究员Mateusz Jurczyk称,他在2016年11月向微软披露了该问题,并表示以前的补丁无法完全纠正这些问题。

Sarwate表示,该补丁应是最高优先级,因为当用户访问特定网站或打开特定文档时,它将允许远程代码执行。Sarwate在一篇博文中写道:“CVE-2017-0005是一个零日漏洞问题,目前正被滥用,使用Silverlight作为攻击向量的漏洞利用工具包可以很快将该漏洞引入。”

Sarwate还极为重视MS17-012。MS17-012是一个关键的Windows安全公告,它解决了多个漏洞,包括在2月被公开披露的另一个漏洞。研究人员发布了一个因微软补丁的延迟而未得到解决的验证概念代码的拒绝服务问题。微软表示,当时这个漏洞的风险相对较低,不过现在其重要程度上升了。MS17-012中的关键问题涉及iSNS服务器中的内存损坏故障。

MS17-010对Windows Server消息块协议造成了影响。该公告怀疑其中一个漏洞是Shadow Brokers转储NSA黑客工具的一部分,并提出US-CERT的一个建议:要求企业禁用Windows SMB v1。

Tripwire的安全研究员Craig Young表示,虽然其评级并非“至关重要”,MS17-016仍值得特别注意。MS17-016是影响Microsoft IIS Web服务器的Windows安全公告。

“这是一个跨站脚本问题,将对网站运行在IIS上造成影响。反射的XSS攻击可能并不会被常规反病毒-XSS过滤器过滤掉,”Young表示。 “当受害者点击攻击者制作的链接时,攻击者可以利用这个漏洞破坏对HTTPS的保护。由于IIS在网上的盛行以及Web服务器经常被忽视,该问题变得更为复杂。

MS17-008、MS17-009和MS17-011分别解决了Windows Hyper-V、Windows PDF库和Microsoft Uniscribe中的漏洞。每个公告均涵盖RCE漏洞,企业应尽快修补。

MS17-014和MS17-015负责解决Microsoft Office和Exchange Server中的RCE漏洞;MS17-017和MS17-018涉及Windows内核和内核模式驱动程序中的特权提升;而MS17-019、MS17-020、MS17-021和MS17-022分别指向了Active Directory联合身份验证服务、Windows DVD Maker、Windows DirectShow和XML核心服务中的信息披露问题。使用这些产品的企业应及时打补丁。

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Windows Vista不兼容VS2005(需打补丁)
在Windows Vista平台上直接安装VS2005,没有想到安装程序直接就提示Vista与VS2005存在已知的兼容问题
342 0
保护内网安全之Windows工作站安全基线开发(二)
本文讲的是保护内网安全之Windows工作站安全基线开发(二),保护Windows工作站免受现代的网络攻击威胁是一件非常具有挑战性的事情。 似乎每个星期攻击者们总有一些新的方法用来入侵系统并获取用户凭据。
2294 0
+关注
boxti
12535
10037
文章
1327
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载