bbin宝盈集团

English

安全产品与方案
行业解决方案
安全服务与运营
安全研究
合作伙伴
技术支持

基础设施安全
数据安全
云计算安全
工业互联网安全
物联网安全
信息技术应用创新
全部产品
全部解决方案

基础设施安全

网络安全

安全管理

应用安全

终端安全

身份与访问管理

解决方案

CH

安全产品与方案

基础设施安全网络安全安全管理应用安全终端安全身份与访问管理解决方案数据安全数据安全产品解决方案云计算安全云计算安全产品解决方案工业互联网安全工业互联网安全产品解决方案物联网安全物联网安全产品解决方案信息技术应用创新信创类安全产品
行业解决方案

政府运营商金融能源交通企业科教文卫
安全服务与运营

专业安全服务应急响应红蓝对抗重保支持咨询服务安全开发安全测试培训与教育可管理安全服务 More 可管理检测与响应服务 bbin宝盈集团主机卫士系统 HGS bbin宝盈集团数据安全交换系统 DES bbin宝盈集团视频安全交换系统 VES bbin宝盈集团安全隔离与信息单向导入系统 SUCS bbin宝盈集团工控安全审计系统 SAS-ICS bbin宝盈集团工业安全隔离装置 ISID bbin宝盈集团工控安全入侵检测系统 IDS-ICS bbin宝盈集团工控漏洞扫描系统 ICSScan bbin宝盈集团工业网络安全监测管理平台 NSFOCUS INSP bbin宝盈集团工业防火墙 ISG bbin宝盈集团工业网络安全合规评估工具 ISCAT 工业互联网安全解决方案智慧城市安全运营智慧城市安全运营 bbin宝盈集团云 bbin宝盈集团云
安全研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2023年度报告安全公告威胁通告
合作伙伴

合作伙伴合作伙伴动态成为合作伙伴申请成为合作伙伴
技术支持

服务支持服务热线维保服务产品支持产品安全常见问题产品生命周期公告软件升级行业资讯产品安全软件升级

返回列表

微软发布6月份7个安全公告修复了66个安全漏洞 (Alert2014-07)

2014-06-11

发布者：bbin宝盈集团科技

描述：

微软发布了6月份7个安全公告：MS14-030到MS14-036，修复了Microsoft RDP, TCP协议, MS Lync, MSXML, MS Word, Internet Explorer, MS GDI+中的安全漏洞共计66个，其中包括59个IE浏览器的安全漏洞。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受这些漏洞影响，并及时安装补丁。

分析：

1、MS14-030
  此更新解决了Microsoft Windows内一个秘密报告的漏洞。如果攻击者在活动RDP会话时可以访问目标系统相同的网络分段，然后发送特制的RDP数据包到目标系统，则该漏洞可导致篡改。

  受影响软件：
  Windows 7
  Windows 8
  Windows 8.1
  Windows Server 2012
  Windows Server 2012 R2

  漏洞描述：

  RDP MAC漏洞 - CVE-2014-0296
  远程桌面协议存在篡改漏洞，可使攻击者修改活动RDP会话的通讯内容。

  临时解决方案：
  * 确保在运行Windows 7, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2的系统上启用了“网络级别身份验证”

2、MS14-031
  此更新解决了Microsoft Windows内1个秘密报告的漏洞。如果攻击者发送一系列特制的数据包到目标系统，该漏洞可导致拒绝服务。

  受影响软件：
  Windows Vista
  Windows Server 2008
  Windows 7
  Windows Server 2008 R2
  Windows 8
  Windows 8.1
  Windows Server 2012
  Windows Server 2012 R2
  Windows RT
  Windows RT 8.1

  漏洞描述：

  TCP拒绝服务漏洞 - CVE-2014-1811
  Windows TCP/IP网络协议存在拒绝服务漏洞，成功利用此漏洞可造成受影响系统停止响应。

3、MS14-032
  此更新解决了Microsoft Lync Server内1个秘密报告的漏洞。如果用户单击精心构造的会议URL以便加入Lync会议，此漏洞可导致信息泄露。

  受影响软件：
  Microsoft Lync Server 2010
  Microsoft Lync Server 2013

  漏洞描述：

  Lync Server内容过滤漏洞 - CVE-2014-1823
  Lync Server过滤精心构造的内容失败后存在信息泄露漏洞，成功利用此漏洞可造成在用户浏览器内执行脚本以获取Web会话的信息。
4、MS14-033
  此更新解决了Microsoft Windows内1个秘密报告的漏洞。如果已登录用户登录了精心构造的官网，该官网的目的就是通过IE调用MSXML，则该漏洞可导致信息泄露。

  受影响软件：
  Windows Server 2003 Service Pack 2
  Windows Vista
  Windows Server 2008
  Windows 7
  Windows Server 2008 R2
  Windows 8
  Windows 8.1
  Windows Server 2012
  Windows Server 2012 R2
  Windows RT
  Windows RT 8.1

  漏洞描述：

  MSXML实体URI漏洞 - CVE-2014-1816
  Microsoft Windows解析XML内容时存在信息泄露漏洞，可使攻击者未授权访问敏感信息。

  临时解决方案：
  * 在IE中禁止使用MSXML 3.0二进制行为。
  * 配置IE在运行AS前提示或在互联网及内联网安全区域内禁用AS。
  * 将互联网及内联网安全区域设置为“高”以阻止ActiveX控件及AS。

5、MS14-034
  此更新解决了Microsoft Office内一个秘密报告的漏洞。如果在受影响Word版本中打开精心构造的文件，此漏洞可允许远程代码执行。

  受影响软件：
  Microsoft Office 2007
  Microsoft Office Compatibility Pack Service Pack 3

  漏洞描述：

  嵌入字体漏洞 – CVE-2014-2778
  Microsoft Office解析某些精心构造的文件时存在远程代码执行漏洞，成功利用后可导致完全控制受影响系统。

  临时解决方案：
  * 不要打开从可疑源收到的Office文件或者从信任源意外收到的文件。
6、MS14-035
  此更新解决了Internet Explorer内两个公开报告的漏洞和57个秘密报告的漏洞。如果用户用IE查看特制的网页，最严重的漏洞可导致远程代码执行。

  受影响软件:
  Internet Explorer 6
  Internet Explorer 7
  Internet Explorer 8
  Internet Explorer 9
  Internet Explorer 10
  Internet Explorer 11

  漏洞描述:

  1）TLS服务器证书重新谈判漏洞 - CVE-2014-1771

  IE处理TLS会话中的证书谈判方式存在信息泄露漏洞，成功利用此漏洞的攻击者可劫持IE和目标服务器之间经过身份验证的TLS连接。

  2）IE信息泄露漏洞 - CVE-2014-1777

  IE在验证本地文件安装时存在信息泄露漏洞。

  3）IE多个权限提升漏洞：漏洞

  IE存在多个权限提升漏洞，成功利用后可提升攻击者在受影响IE版本内的权限。这些漏洞包括：
  Internet Explorer权限提升漏洞：CVE-2014-1764
  Internet Explorer权限提升漏洞： CVE-2014-1778
  Internet Explorer权限提升漏洞： CVE-2014-2777

  4）IE内多个内存破坏漏洞
  Internet Explorer 没有正确访问内存对象，在实现上存在远程代码执行漏洞，成功利用后可破坏内存，在当前用户权限下执行任意代码。这些漏洞包括：
  IE内存破坏漏洞  CVE-2014-0282
  IE内存破坏漏洞  CVE-2014-1762
  IE内存破坏漏洞  CVE-2014-1769
  IE内存破坏漏洞  CVE-2014-1770
  IE内存破坏漏洞  CVE-2014-1772
  IE内存破坏漏洞  CVE-2014-1773
  IE内存破坏漏洞  CVE-2014-1774
  IE内存破坏漏洞  CVE-2014-1775
  IE内存破坏漏洞  CVE-2014-1766
  IE内存破坏漏洞  CVE-2014-1779
  IE内存破坏漏洞  CVE-2014-1780
  IE内存破坏漏洞  CVE-2014-1781
  IE内存破坏漏洞  CVE-2014-1782
  IE内存破坏漏洞  CVE-2014-1783
  IE内存破坏漏洞  CVE-2014-1784
  IE内存破坏漏洞  CVE-2014-1785
  IE内存破坏漏洞  CVE-2014-1786
  IE内存破坏漏洞  CVE-2014-1788
  IE内存破坏漏洞  CVE-2014-1789
  IE内存破坏漏洞  CVE-2014-1790
  IE内存破坏漏洞  CVE-2014-1791
  IE内存破坏漏洞  CVE-2014-1792
  IE内存破坏漏洞  CVE-2014-1794
  IE内存破坏漏洞  CVE-2014-1795
  IE内存破坏漏洞  CVE-2014-1796
  IE内存破坏漏洞  CVE-2014-1797
  IE内存破坏漏洞  CVE-2014-1799
  IE内存破坏漏洞  CVE-2014-1800
  IE内存破坏漏洞  CVE-2014-1802
  IE内存破坏漏洞  CVE-2014-1803
  IE内存破坏漏洞  CVE-2014-1804
  IE内存破坏漏洞  CVE-2014-1805
  IE内存破坏漏洞  CVE-2014-2753
  IE内存破坏漏洞  CVE-2014-2754
  IE内存破坏漏洞  CVE-2014-2755
  IE内存破坏漏洞  CVE-2014-2756
  IE内存破坏漏洞  CVE-2014-2757
  IE内存破坏漏洞  CVE-2014-2758
  IE内存破坏漏洞  CVE-2014-2759
  IE内存破坏漏洞  CVE-2014-2760
  IE内存破坏漏洞  CVE-2014-2761
  IE内存破坏漏洞  CVE-2014-2763
  IE内存破坏漏洞  CVE-2014-2764
  IE内存破坏漏洞  CVE-2014-2765
  IE内存破坏漏洞  CVE-2014-2766
  IE内存破坏漏洞  CVE-2014-2767
  IE内存破坏漏洞  CVE-2014-2768
  IE内存破坏漏洞  CVE-2014-2769
  IE内存破坏漏洞  CVE-2014-2770
  IE内存破坏漏洞  CVE-2014-2771
  IE内存破坏漏洞  CVE-2014-2772
  IE内存破坏漏洞  CVE-2014-2773
  IE内存破坏漏洞  CVE-2014-2775
  IE内存破坏漏洞  CVE-2014-2776
  临时解决方案：

  * 配置IE在运行AS前提示或在互联网及内联网安全区域内禁用AS。
  * 将互联网及内联网安全区域设置为“高”以阻止ActiveX控件及AS。

7、MS14-036
  此更新解决了Microsoft Windows, Microsoft Office, Microsoft Lync内2个秘密报告的漏洞。如果用户打开精心构造的文件或网页，此漏洞可允许远程代码执行。

  受影响软件:
  Windows Server 2003
  Windows Vista
  Windows Server 2008
  Windows 7
  Windows Server 2008 R2
  Windows 8
  Windows 8.1
  Windows Server 2012
  Windows Server 2012 R2
  Windows RT
  Windows RT 8.1

  漏洞描述：

  1) Unicode脚本处理器漏洞 - CVE-2014-1817
  受影响组件处理精心构造的字体文件时存在远程代码执行漏洞，成功利用后可允许远程代码执行。

  临时解决方案：
  * 禁用WebClient服务。
  * 在防火墙阻止TCP端口139和445
  * 在Windows Explorer内禁用预览窗格和详细信息窗格。

  2) GDI+图形解析漏洞 - CVE-2014-1818
  GDI+验证精心构造的图形时存在远程代码执行漏洞，如果用户打开特制的图形，该漏洞可导致远程代码执行。

  临时解决方案：
  * 修改注册表关闭源文件处理
  * 在Lync中禁用数据协作
  * 以纯文本读取电子邮件
厂商状态：
==========
厂商已经发布了相关补丁，请及时使用Windows update安装最新补丁。
附加信息：
==========
1. http://technet.microsoft.com/security/bulletin/MS14-030
2. http://technet.microsoft.com/security/bulletin/MS14-031
3. http://technet.microsoft.com/security/bulletin/MS14-032
4. http://technet.microsoft.com/security/bulletin/MS14-033
5. http://technet.microsoft.com/security/bulletin/MS14-034
6. http://technet.microsoft.com/security/bulletin/MS14-035
7. http://technet.microsoft.com/security/bulletin/MS14-036

<<上一篇

IE VML UAF远程代码执行0day漏洞 (Alert2014-06)

>>下一篇

GNU Bash 环境变量远程命令执行漏洞(CVE-2014-6271) (Alert2014-08)

✕

您的联系方式

购买热线

提交项目需求

欢迎加入bbin宝盈集团科技，成为我们的合作伙伴！

*请描述您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方式

*姓名
*联系电话
*邮箱
*职务
*公司
*城市
*行业
*验证码
提交到邮箱

服务支持

智能客服

智能客服

购买/售后技术问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

支持热线

支持热线

400-818-6868

bbin宝盈集团科技社区

bbin宝盈集团科技社区

资料下载|在线问答|技术交流

信息安全

官网地图| 法律声明| 投资者关系

关于我们: 公司介绍; 公司荣誉; bbin宝盈集团书橱; bbin宝盈集团新闻; 工作机会

如何购买: 提交项目需求; 在线咨询; 请求回电; 购买热线

bbin宝盈集团: 公司总部; 分支机构; 全球分支机构

快速链接: bbin宝盈集团云; bbin宝盈集团威胁情报中心NTI; 技术博客; 成功案例; TechWorld技术嘉年华

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS bbin宝盈集团科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证48052245号