大家好,我是 richard chen。
微軟於北京時間11月14日清晨發布6個安全補丁,其中4個為最高端別嚴重等級,1個為重要等級,1個為中等等級,共修復 microsoft windows shell, windows kernel, internet explorer, internet information services(iis), .net framework 和 excel 中的19個安全漏洞。請特別優先部署嚴重等級補丁 ms12-071 和 ms12-075。ms12-071 修復了 internet explorer 中三個秘密報告的漏洞,成功利用該漏洞可使用當前使用者的許可權執行**,ie10不受這些漏洞的影響。ms12-075 修復了 windows 中三個秘密報告的漏洞,最嚴重的可導致遠端**執行。目前尚未發現針對以上漏洞的攻擊。
此外,本月微軟重新發布了 ms12-046 和 ms12-062。重新發布的 ms12-046,為 microsoft office 2003 sp3提供安全通報2749655中描述的數字證書相關更新。重新發布的 ms12-062,為 system center configuration manager 2007提供 kb2721642中描述的更新;已經部署英文版 kb2721642的使用者不受此次更新影響。
下表概述了本月的安全公告(按嚴重等級和公告 id 排序):
公告 id
公告標題和摘要
最高嚴重等級和漏洞影響
重新啟動要求
受影響的軟體
ms12-071
internet explorer 的累積性安全更新 (2761451)
此安全更新可解決 internet explorer 中的三個秘密報告的漏洞。如果使用者使用 internet explorer 檢視特製網頁,則所有漏洞可能允許遠端執行**。成功利用這些漏洞的攻擊者可以獲得與當前使用者相同的使用者許可權。那些帳戶被配置為擁有較少系統使用者許可權的使用者比具有管理使用者許可權的使用者受到的影響要小。
嚴重 遠端執行**
需要重啟動
microsoft windows,
internet explorer
ms12-072
windows shell 中的漏洞可能允許遠端執行** (2727528)
此安全更新可解決 microsoft windows 中兩個秘密報告的漏洞。如果使用者在 windows 資源管理器中瀏覽到特製公文包,則該漏洞可能允許遠端執行**。成功利用此漏洞的攻擊者可能以當前使用者的身份執行任意**。如果當前使用者使用管理使用者許可權登入,攻擊者便可完全控制受影響的系統。攻擊者可隨後安裝程式;檢視、更改或刪除資料;或者建立擁有完全使用者許可權的新帳戶。那些帳戶被配置為擁有較少系統使用者許可權的使用者比具有管理使用者許可權的使用者受到的影響要小。
嚴重 遠端執行**
需要重啟動
microsoft windows
ms12-074
.net framework 中的漏洞可能允許遠端執行** (2745030)
此安全更新可解決 .net framework 中五個秘密報告的漏洞。如果攻擊者誘使目標系統的使用者使用惡意**自動配置檔案,然後將**注入到當前執行的應用程式中,則其中較嚴重的漏洞可能允許遠端執行**。
嚴重 遠端執行**
可能要求重新啟動
microsoft windows,
microsoft .net framework
ms12-075
windows 核心模式驅動程式中的漏洞可能允許遠端執行** (2761226)
此安全更新解決 microsoft windows 中三個秘密報告的漏洞。如果使用者開啟特製文件或者訪問嵌入了 truetype 字型檔案的惡意網頁,則這些漏洞中最嚴重的漏洞可能允許遠端執行**。攻擊者必須誘使使用者訪問該**,方法通常是讓使用者單擊電子郵件中的鏈結以使使用者鏈結到攻擊者的**。
嚴重 遠端執行**
需要重啟動
microsoft windows
ms12-076
microsoft excel 中的漏洞可能允許遠端執行** (2720184)
此安全更新可解決 microsoft office 中 4 個秘密報告的漏洞。如果使用者使用受影響的 microsoft excel 版本開啟特製的 excel 檔案,則這兩個漏洞可能允許遠端執行**。成功利用該漏洞的攻擊者可以獲得與當前使用者相同的使用者許可權。那些帳戶被配置為擁有較少系統使用者許可權的使用者比具有管理使用者許可權的使用者受到的影響要小。
重要 遠端執行**
可能要求重新啟動
microsoft office
ms12-073
microsoft internet information services (iis) 中的漏洞可能允許資訊洩露 (2733829)
此安全更新可解決 microsoft internet 資訊服務 (iis) 中乙個公開披露和乙個秘密報告的漏洞。如果攻擊者向伺服器傳送特製 ftp 命令,則較嚴重的漏洞可能允許資訊洩露。
中等 資訊洩露
可能要求重新啟動
microsoft windows
詳細資訊請參考2023年11月安全公告摘要:
謝謝!richard chen
大中華區軟體安全專案經理
新聞 微軟9月14日發布5個安全補丁
微軟於北京時間9月14日清晨發布5個安全補丁,所有補丁的最高端別均為為重要等級,共修復了 microsoft windows,microsoft office 與 microsoft 伺服器軟體等中的15個安全漏洞。請大家根據補丁嚴重性程度 利用指數和自身環境綜合考量部署順序。請特別注意,有若干漏洞...
新聞 微軟11月10日發布3個安全補丁
其中,ms10 087 修復了影響所有支援範圍內的 office 版本的5個問題,包括 安全通報2269637 中描述的 dll 預載入 dll preloading 漏洞對 office 的影響,確保了 office 中乙個受到影響的元件使用安全的方式載入 dll。該補丁為嚴重等級且最高利用指數為...
新聞 微軟11月10日發布3個安全補丁
其中,ms10 087 修復了影響所有支援範圍內的 office 版本的5個問題,包括 安全通報2269637 中描述的 dll 預載入 dll preloading 漏洞對 office 的影響,確保了 office 中乙個受到影響的元件使用安全的方式載入 dll。該補丁為嚴重等級且最高利用指數為...