20131211,微软12月11日发布11个安全补丁

大家好,我们是微软大中华区安全支持团队。 微软于北京时间12月11日凌晨发布11个安全补丁,其中5个为最高级别严重等级,6个为重要等级,共修复Microsoft Windows, Internet Explorer, Office 和Exchange 中的24个安全漏洞。请优先部署严重等级补丁MS13-096, MS13-097 和 MS13-099. MS13-096 | Microsoft Graphics 组件中的漏洞可能允许远程执行代码 (2908005) 此安全更新可解决 Microsoft Windows、Microsoft Office 和 Microsoft Lync 中一个公开披露的漏洞 如果用户查看包含特制 TIFF 文件的内容,则该漏洞可能允许远程执行代码。此安全更新通过更正受影响的软件处理 TIFF 文件的方式解决了此漏洞。此安全更新解决了最初在 Microsoft 安全通报 2896666 中描述的漏洞。   MS13-097 | Internet Explorer 的累积性安全更新 (2898785) 此安全更新可解决 Internet Explorer 中 7 个秘密报告的漏洞。最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码。成功利用这些最严重的漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。   MS13-099 | Microsoft 脚本运行时对象库中的漏洞可能允许远程执行代码…

0

Windows安全问答

问题列表: 1.工具(WCE)是如何能够获得用户口令的HASH甚至明文的?. 1 2.攻击者使用WCE必须满足什么条件?. 2 3. 在线登录(联系到DC)的情形下Windows通过什么方式保护用户的登录信息(HASH)?. 2 4. 在离线登陆(联系不到DC)的情形下Windows如何保护用户的登录信息?. 3 5. Vista(Windows Server 2008)和以后的操作系统是否有对NTLM的加强?. 3 6.为什么微软不发布一个产品更新来解决这些工具带来的风险?. 4 7. 微软提供哪些建议来减低规避用户登录信息被盗的风险?. 4 8. Windows的安全级别获得了什么认证?. 4 1.工具(WCE)是如何能够获得用户口令的HASH甚至明文的? 回答: 获取口令hash的方法: –          WCE必须运行在管理员的帐号下才可以读到所需要的内容。 –          根据操作系统的版本,WCE会用不同的方法找到lsass.exe进程中存储口令HASH的地址. 他们用的方法是反向工程来分析lsass.exe里面用的数据结构。这些数据机构都是内存中的数据结构. –          计算出HASH的地址以后WCE就通过ReadProcessMemory()或者在lsass.exe进程中注入机器代码来读取内存的内容并显示出来。 有关WCE,它的作者有一个非常详细的说明在下面的PDF文档中. http://www.ampliasecurity.com/research/WCE_Internals_RootedCon2011_ampliasecurity.pdf. 获取明文口令的方法: 当用户在Windows上提供用户名和登录证明(口令或PIN码)进行登录的时候,口令和PIN码是通过明文来提供的. 具体的验证协议需要把它们变成协议里规定的格式再来使用.同时为了兼容一些协议,比如Digest, 当前的Windows还允许用可逆的方式来来加密用户口令并存在内存中。 –          WCE必须运行在管理员的帐号下才可以读到所需要的内容。 –          根据操作系统的版本,WCE会用不同的方法找到lsass.exe进程中存储加密口令和加密key的地址. 他们用的方法是反向工程来分析lsass.exe里面用的数据结构。这些数据机构都是内存中的数据结构. –          计算出加密口令和加密key的地址以后WCE就通过ReadProcessMemory()或者在lsass.exe进程中注入机器代码来读取内存的内容。 –          得到加密口令和加密key后用反向工程方法的到的解密方法来进行解密,得到明文口令   注: Windows从来不会把口令以明文的方式存储在内存或磁盘上,只存了可逆加密过的口令.当协议要明文口令的时候,Windows会把这些口令解密并提供给相应的协议. 这种保护并不能阻止有系统级别访问权限的攻击者利用操作系统同样的方式获得这些口令并用于非法的目的.一个攻击者可以通过反向工程的方式用和操作系统同样的办法得到明文口令.这也是WCE获得明文口令的方法.   2.攻击者使用WCE必须满足什么条件?…

0

20131209,微软十二月安全补丁提前通知

作为微软每月补丁发布的一部分,微软会在补丁发布前一周向用户提供有关补丁的相关信息,包括补丁数量、受影响软件和严重等级等。此通知的目的是希望能够更好地帮助用户安排补丁部署计划。   在2013年12月11日,Microsoft 计划发布11个安全公告,以下是其简介:   新的安全公告 公告 ID 最高严重等级 漏洞影响 重新启动要求 受影响的软件 补丁1 严重 远程执行代码 需要重新启动 Microsoft Windows, Microsoft Office, Microsoft Lync 补丁2 严重 远程执行代码 需要重新启动 Microsoft Windows, Internet Explorer 补丁3 严重 远程执行代码 需要重新启动 Microsoft Windows 补丁4 严重 远程执行代码 可能要求重新启动 Microsoft Windows 补丁5 严重 远程执行代码 不需要重新启动 Microsoft Exchange 补丁6 重要 远程执行代码 可能要求重新启动 Microsoft Office, Microsoft…

0

20131113,微软11月13日发布8个安全补丁

  大家好,我们是微软大中华区安全支持团队。 微软于北京时间11月13日凌晨发布8个安全补丁,其中3个为最高级别严重等级,5个为重要等级,共修复 Microsoft Windows, Internet Explorer 和 Office 中的19个安全漏洞。请优先部署严重等级补丁MS13-090, MS13-088 和MS13-089。 MS13-090 | ActiveX Kill Bit 的累积性安全更新 (2618451) 此安全更新解决了当前正被利用的一个秘密报告的漏洞。InformationCardSigninHelper 类 ActiveX 控件中存在该漏洞。如果用户使用实例化 ActiveX 控件的 Internet Explorer 查看特制网页,此漏洞可能允许远程执行代码。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 MS13-088 | Internet Explorer 的累积性安全更新 (2888505) 此安全更新可解决 Internet Explorer 中的 10 个秘密报告的漏洞。最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码。成功利用这些最严重的漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 MS13-089 | Windows 图形设备接口中的漏洞可能允许远程执行代码 (2876331) 此安全更新可解决 Microsoft Windows 中一个秘密报告的漏洞。如果用户在写字板中查看或打开特制 Windows Write 文件,则此漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。…

0

20131112,微软十一月安全补丁提前通知

大家好,我们是微软大中华区安全支持团队。 在此提前通知各位:微软计划于北京时间11月13日清晨发布8个安全补丁,其中3个为严重等级补丁,另5个为重要等级补丁。 下表概述了本次提前公告(按严重等级和公告 ID 排序):   公告 ID 最高严重等级 漏洞影响 重新启动要求 受影响的软件 补丁1 严重  远程执行代码 需要重启动 Microsoft Windows, Internet Explorer 补丁2 严重  远程执行代码 需要重启动 Microsoft Windows 补丁3 严重  远程执行代码 可能要求重新启动 Microsoft Windows 补丁4 重要  远程执行代码 可能要求重新启动 Microsoft Office 补丁5 重要  特权提升 要求重新启动 Microsoft Windows 补丁6 重要  信息泄露 要求重新启动 Microsoft Windows 补丁7 重要  信息泄露 可能要求重新启动 Microsoft…

0

20131009,微软10月9日发布8个安全补丁

大家好,我们是微软大中华区安全支持团队。 微软于北京时间10月9日清晨发布8个安全补丁,其中4个为最高级别严重等级,4个为重要等级,共修复 Microsoft Windows, Internet Explorer, SharePoint, .NET Framework, Office 和 Silverlight 等产品中存在的26个安全漏洞。请优先部署严重等级补丁 MS13-080, MS13-081 和 MS13-083。 MS13-080 | Internet Explorer 的累积性安全更新 此安全更新可解决 Internet Explorer 中一个公开披露的漏洞和九个秘密报告的漏洞。最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码,具体在安全通报2887505中进行了详细描述。成功利用这些最严重的漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 MS13-081 | Windows 内核模式驱动程序中的漏洞可能允许远程执行代码 此安全更新可解决 Microsoft Windows 中秘密报告的 7 个漏洞。如果用户查看嵌入 OpenType 或 TrueType 字体文件的共享内容,则这些漏洞中最严重的漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以完全控制受影响的系统。 MS13-083 | Windows 公共控件库中的漏洞可能允许远程执行代码 此安全更新可解决 Microsoft Windows 中一个秘密报告的漏洞。如果攻击者将特制的 Web 请求发送到受影响的系统上运行的 ASP .NET…

0

20131004,微软十月安全补丁提前通知

大家好,我们是微软大中华区安全支持团队。        在此提前通知各位:微软计划于北京时间10月9日清晨发布8个安全补丁,其中4个为严重等级补丁,另4个为重要等级补丁。4个严重等级补丁修复了 Microsoft Windows、Internet Explorer 和 Microsoft .NET Framework 中的安全漏洞,4个重要等级补丁修复 Microsoft Office、Microsoft Server Software 和 Microsoft Silverlight 中的安全漏洞。     下表概述了本次提前公告(按严重等级和公告 ID 排序):     Bulletin ID Maximum Severity Rating and Vulnerability Impact Restart Requirement Affected Software Bulletin 1 Critical  Remote Code Execution Requires restart Microsoft Windows,  Internet Explorer Bulletin 2 Critical  Remote Code Execution Requires restart Microsoft Windows Bulletin 3 Critical  Remote Code Execution…

0

微软安全新闻聚焦-双周刊第三十八期

                                                                 Biweekly Spotlights                                             ==== 2013. 8 .21 – 2013. 9 .11  第 38 期 ====     微软9月发布13个安全补丁 2013 年 9 月 11 日                  微软于9月11日发布了13个安全补丁,其中4个为最高级别严重等级,9个为重要等级,共修复 Microsoft Windows、Office、Internet Explorer 和 SharePoint中的47个安全漏洞。请优先部署严重等级补丁 MS13-067、MS13-068 和 MS13-069。MS13-067 解决了 SharePoint Servers  中1个公开披露的漏洞和9个秘密报告的漏洞。如果攻击者向受影响的服务器发送特制内容,最严重的漏洞可允许远程执行代码。MS13-068 解决了 Microsoft Outlook 中一个秘密报告的漏洞。如果用户使用受影响的版本打开或预览特制的电子邮件,则此漏洞可能允许远程执行代码。 MS13-069 解决了 Internet Explorer 中的 10 个秘密报告的漏洞。最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码。此外微软还发更新了安全通报 2755801以解决 Adobe…

0

[技术分享–RMS篇] 20130917, 迁移 AD RMS SQL 数据库

有时候,您可能需要迁移 AD RMS 服务器的数据库到另外一台服务器。常见的一些场景如下: 1. 您最初部署 AD RMS 的时候使用了 Windows 内部数据库(Internal Database),这样的情况下 AD RMS 无法部署群集,为了启用群集功能部署多台 AD RMS 前端服务器均衡负载,您需要将数据库从内部数据库迁移到另外一台独立的 SQL 服务器; 2. 您可能还在使用已经过期的 SQL2000 版本,因此需要迁移到 SQL2005 及以上版本; 3. 您的组织架构调整,需要将 AD RMS 数据库服务器迁移到另外一台独立的 SQL 服务器上。   针对 AD RMS 数据库的迁移,微软在2011年就发布了如下文档供您参考: http://technet.microsoft.com/en-us/library/ff625704(v=ws.10).aspx — AD RMS Database Relocation with a CNAME Record Step-by-Step http://technet.microsoft.com/en-us/library/ff660055(v=ws.10).aspx — AD RMS Database Relocation…

0

20130911,微软9月11日发布13个安全补丁

大家好,我们是微软大中华区安全支持团队。 微软于北京时间9月11日清晨发布13个安全补丁,其中4个为最高级别严重等级,9个为重要等级,共修复 Microsoft Office、Microsoft Server Software、Microsoft Windows、Microsoft .NET Framework 和 Internet Explorer 中的47个安全漏洞。请优先部署严重等级补丁 MS13-067和 MS13-068。 MS13-067 | Microsoft SharePoint Server 中的漏洞可能允许远程执行代码 此安全更新可解决 Microsoft Office Server 软件中一个公开披露的漏洞和九个秘密报告的漏洞。如果攻击者向受影响的服务器发送特制内容,最严重的漏洞可能允许在 W3WP 服务帐户的上下文中远程执行代码。 对于 Microsoft SharePoint Server 2007、Microsoft SharePoint Server 2010、Microsoft SharePoint Services 2.0、Microsoft SharePoint Services 3.0 和 Microsoft SharePoint Foundation 2010 的受支持版本,此安全更新的等级为“严重”。对于 Microsoft SharePoint Server 2010 受支持版本上受影响的 Microsoft Office…

0