Udostępnij za pośrednictwem


20140115,微软1月15日发布4个安全补丁

大家好,我们是微软大中华区安全支持团队。

微软于北京时间1月15日凌晨发布4个安全补丁,全部为重要等级,共修复Microsoft Windows, Office, and Dynamics AX 中的6个安全漏洞。请优先部署重要等级补丁MS14-002

MS14-002 | Windows 内核中的漏洞可能允许特权提升 (2914368)

此安全更新可解决 Microsoft Windows 中一个公开披露的漏洞。此漏洞在攻击者登录系统并运行特制应用程序时允许提升特权。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。此安全更新解决了最初在 Microsoft 安全通报 2918840中描述的漏洞。微软已经发现针对该漏洞的攻击行为。攻击者通过特质的PDF文件诱使用户打开该文件进而访问系统。

 

下表概述了本月的安全公告(按严重等级和公告 ID 排序):

公告 ID

公告标题和摘要

最高严重等级和漏洞影响

重新启动要求

受影响的软件

MS14-001

Microsoft Word 和 Office Web App 中的漏洞可能允许远程执行代码 (2916605) 此安全更新可解决 Microsoft Office 中3 个秘密报告的漏洞。如果特制文件在 Microsoft Word 的受影响版本或其他受影响的 Microsoft Office 软件中打开,则这些漏洞可能允许远程执行代码。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

重要 远程执行代码

可能要求重新启动

Microsoft Office, Microsoft Server 软件

MS14-002

Windows 内核 中的漏洞可能允许特权提升 (2914368) 此安全更新可解决 Microsoft Windows 中一个公开披露的漏洞。此漏洞在攻击者登录系统并运行特制应用程序时允许提升特权。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。

重要 特权提升

需要重启动

Microsoft Windows

MS14-003

Windows 内核模式驱动程序中的漏洞可能允许特权提升 (2913602) 此安全更新可解决 Microsoft Windows 中一个秘密报告的漏洞。该漏洞在用户登录系统并运行特制应用程序时允许提升特权。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。

重要 特权提升

需要重启动

Microsoft Windows

MS14-004

Microsoft Dynamics AX 中的漏洞可能允许拒绝服务 (2880826) 此安全更新可解决 Microsoft Dynamics AX 中一个秘密报告的漏洞。如果经过身份验证的攻击者向受影响的 Microsoft Dynamics AX 应用程序对象服务器 (AOS) 实例提交特制数据,该漏洞可能允许拒绝服务。成功利用此漏洞的攻击者可能导致目标 AOS 实例停止响应客户端请求。

重要 拒绝服务

可能要求重新启动

Microsoft Dynamics AX

有关受影响软件的详细信息,请参阅下一节“受影响的软件”。

 

 详细信息请参考2014年1月安全公告摘要:

https://technet.microsoft.com/zh-CN/security/bulletin/ms14-jan 

微软安全响应中心博客文章(英文):

https://blogs.technet.com/b/msrc/archive/2014/01/14/a-look-into-the-future-and-the-january-2014-bulletin-release.aspx

微软大中华区安全支持团队