微软12月安全公告——IE、Office、VBScript脚本引擎漏洞严重

微软已于2014年12月10日发布12月安全公告，本次公告共发布7个补丁，其中3个为严重级别，分别为：

MS14-080（严重），Internet Explorer累积安全更新（3008923）
https://technet.microsoft.com/en-us/library/security/ms14-080.aspx  

MS14-081（严重），Microsoft Word和Microsoft Office Web App中的漏洞可能允许远程执行代码（3017301）
https://technet.microsoft.com/en-us/library/security/ms14-081.aspx  

MS14-084（严重），VBScript脚本引擎中的漏洞可能允许远程执行代码（3016711）
https://technet.microsoft.com/en-us/library/security/ms14-084.aspx  


已确认被成功利用的软件和系统:

Internet Explorer 6 - 11
（MS14-080）

Microsoft Office 2007-2013/RT
Microsoft SharePoint Server 2010-2013
Microsoft Office Web Apps 2010-2013
（MS14-081）

Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
Server Core installation
（MS14-084）

漏洞描述：


MS14-080：

此安全更新可解决Internet Explorer中14个私下报告的漏洞，最严重的漏洞可能在用户使用Internet Explorer查看经特殊设计的网页时允许远程执行代码，成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。那些账户被配置为拥有较少系统用户权限的客户比具有管理用户权限的客户受到的影响要小。

MS14-081：

此安全更新解决了Microsoft Word和Microsoft Office Web App中2个私下报告的漏洞。如果攻击者诱使用户在受影响的Microsoft Office软件版本中打开或者预览经特殊设计的Microsoft Word文件，这些漏洞可能允许远程执行代码。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理权限登录，则攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新账户。那些账户被配置为拥有较少系统用户权限的客户比具有管理用户权限的客户受到的影响要小。

MS14-084：

    此安全更新解决了Microsoft Windows的VBScript脚本引擎中一个私下报告的漏洞。如果用户访问经特殊设计的网站，此漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新账户。

建议修补方案：

微软补丁MS14-080，补丁下载地址：
https://technet.microsoft.com/en-us/library/security/ms14-080.aspx

微软补丁MS14-081，补丁下载地址：
https://technet.microsoft.com/en-us/library/security/ms14-081.aspx

微软补丁MS14-084，补丁下载地址：
https://technet.microsoft.com/en-us/library/security/ms14-084.aspx  

或者使用Windows的自动更新。

注：其余4个“重要”级别补丁：


注：其余4个“重要”级别补丁：
l  MS14-075（重要） Microsoft Exchange Server中的漏洞可能允许特权提升
<https://technet.microsoft.com/en-us/library/security/ms14-075.aspx >（3009712）
l  MS14-082（重要） Microsoft Office中的漏洞可能允许远程执行代码
<https://technet.microsoft.com/en-us/library/security/ms14-082.aspx >(3017349)
l  MS14-083（重要） Microsoft Excel中的这些漏洞可能允许远程执行代码
<https://technet.microsoft.com/en-us/library/security/ms14-083.aspx >(3017347)
l  MS14-085（重要） Microsoft Graphics组件中的漏洞可能允许信息泄露
<https://technet.microsoft.com/en-us/library/security/ms14-085.aspx >(3013126)