阅读时间: 1 分钟
Microsoft在11月9日发布了一系列安全更新,其中包括针对Internet Explorer 10和XNUMX中的关键安全漏洞的修复程序,以及针对Windows XP的倒数第二个更新。
去年XNUMX月,安全公司FireEye首次发现了以前未知的“零日漏洞利用”,这损害了退伍军人网站vfw.org的Internet Explorer“零日漏洞”利用。 据FireEye称,攻击者破坏了网页,并添加了一个内嵌框架iFrame,该内嵌框架加载包含JavaScript和受恶意软件感染的Flash动画的页面。 然后,页面用户被重定向到一个远程站点,在该站点上完整的恶意软件有效负载已下载并在其计算机上执行。
此攻击的一个有趣方面是,使用Adobe的Flash Action Script(将受感染的动画加载到内存中)克服了Windows反利用功能,即地址空间随机布局(ASRL)。
这也是Windows XP和Office 2003的倒数第二个安全更新,尽管没有包含与Office相关的任何内容。 此更新包括Windows XP中四个漏洞的修复程序。 有关详细信息,请参阅以下Microsoft更新公告:
MS14-012:Internet Explorer的累积安全更新(2925418)
MS14-013:Microsoft DirectShow中的漏洞可能允许远程执行代码(2929961)
MS14-014:Windows内核模式驱动程序中的漏洞可能允许特权提升(2930275)
MS14-015:安全帐户管理器远程(SAMR)协议中的漏洞可能允许绕过安全功能(2934418)
MS14-016:Silverlight中的漏洞可能允许绕过安全功能(2932677)
