2014年6月11日,微软如期推送7枚六月份安全补丁,修复共计66个安全漏洞。其中有59枚漏洞来自IE浏览器,还包括2枚公开曝光,具体涉及IE6、IE7、IE8、IE9、IE10、IE11全版本。这次,IE浏览器成为微软6月份主角,其KB2957689累积性安全更新也标记为最高严重级别,同时提升了最新版IE11版本号,小幅升级至IE11.0.9;内置Flash Player也同步升级至14.0.0.125正式版。之前,IE浏览器漏洞也不少。例如5月份修复了2个漏洞,4月份是6个,3月份18个,2月份24个。
MS14-035:Internet Explorer的累积安全更新(2969262)。在这个累积更新中,几乎所有59个漏洞补丁都在至少一个Windows和Internet Explorer版本中被评为紧急更新,不过其漏洞的严重程度与版本组合是较为复杂的。微软表扬了至少32名研究人员(有些是匿名的),感谢他们披露了这些漏洞。一段时间以来,微软也一直在收集这些漏洞,其中一个编号为CVE-2014-1770的安全漏洞,便是由惠普旗下的零日计划(Zero-Day Initiative,简称ZDI)在半年前报告给微软的。虽然ZDI往往会等到供应商发布了修复补丁后再披露某一漏洞,但根据他们的规定,半年后,无论情况如何,他们都将披露这一漏洞。这个更新的另一有趣之处在于,微软还提到了Windows XP是否会受到影响:我们还可以从我们自己的测试中确认,Windows XP系统虽然不能接收这些安全更新,但Windows POSReady可以。
MS14-033:微软XML核心服务中的漏洞可能允许信息泄露(Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure )(2966061) - XML处理可能会允许攻击者获取更多不应访问的信息。微软认为它不太可能能成功地攻击代码。最新版本的微软恶意软件删除工具也已推出,并会在用户运行Windows Update时自动运行。新版本增加了检测和清除Win32/Necurs恶意软件的功能。
IE浏览器漏洞修复一直是微软修复的重点之一,每次版本更新都会后续对应着推出的一大堆漏洞补丁,而这一次微软一口气发布了59个IE漏洞补丁,且都是最高严重级别。一口气发布59个IE严重级别漏洞补丁确实让人非常惊讶,回顾今年此前微软发布的相关补丁,5月份仅发布两个,4月份也只有6个,而这次59个不得不让人吓一跳。根据微软官方给出的说法,此次修复的IE漏洞中有2个是公开曝光的,另外57个则未被公开。
0条大神的评论