微软在昨天的“补丁星期二”公布了12个公告,修复了某些Windows、Microsoft Office以及Microsoft Edge浏览器版本中的56个单独漏洞。其中有两个漏洞颇为醒目。
MS15-094是最大的补丁,影响所有的Windows支持版本,包括公司服务器以及平板操作系统系列。IE中存在多个内存损坏漏洞,可允许攻击 者获取受影响的且以相同用户权限级别运行的系统的访问权限。攻击者可诱骗用户访问一个精心编制的网页以利用这个漏洞,尽管Win 10被列为易受攻击系统,不过Edge浏览器并未受影响。
MS15-098是另外一个重要漏洞,影响所有Windows支持版本。Windows Journal处理某些精心编制文档的方式可引发拒绝服务,导致受影响系统数据丢失。不过攻击者无法控制设备。
其它三个严重漏洞包括:微软的Edge浏览器中存在一个内存损坏漏洞,允许攻击者以用户权限级别的身份获取访问受影响机器的权限 (MS14-095);MS15-097是一个严重的权限升级漏洞,影响某些版本的Windows以及Microsoft Office,而攻击者可通过精心编制的文档或不受信任的网页获取对系统的访问权限;MS15-099影响所有支持版本的Microsoft Office,是SharePoint处理链接时引发的漏洞,允许攻击者在目标机器上运行远程代码及脚本、窃取敏感信息如验证cookies等(即使是运 行Excel for Mac 2011和2016的Mac 用户也受影响,因此建议立即检查更新予以修复)。
其它补丁,包括MS15-096和MS15-100至MS15-105都被列为“重要”级别,影响Windows、Skype及Lync、和Exchange Server。
九月份的补丁可通过以往的更新渠道获取。