20130313,微软3月13日发布7个安全补丁
大家好,我是 Richard Chen。
微软于北京时间3月13日清晨发布7个安全补丁,其中4个为最高级别严重等级,3个为重要等级,共修复Microsoft Windows、Office、Internet Explorer、Server Tools 和 Silverlight中的20个安全漏洞。请特别优先部署严重等级补丁MS13-021、MS13-022 和 MS13-027。
MS13-021 解决了 Internet Explorer 中的 8 个秘密报告的漏洞和一个公开的漏洞。最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。目前尚未发现针对该漏洞的攻击以及受影响的用户。
MS13-022 此安全更新解决了 Microsoft Silverlight 中一个秘密报告的漏洞。如果攻击者拥有包含可以利用此漏洞的特制 Silverlight 应用程序的网站,然后诱使用户查看该网站,则该漏洞可能允许执行执行代码。目前尚未发现针对该漏洞的攻击以及受影响的用户。
MS13-027 此安全更新解决 Microsoft Windows 中三个秘密报告的漏洞。如果攻击者获得对系统的访问权限,这些漏洞中最严重的漏洞可能允许特权提升。在默认配置中,只有当未经身份验证的攻击者对系统具有物理访问权限时,他们才能利用此漏洞。
下表概述了本月的安全公告(按严重等级和公告 ID 排序):
公告 ID |
公告标题和摘要 |
最高严重等级和漏洞影响 |
重新启动要求 |
受影响的软件 |
|---|---|---|---|---|
Internet Explorer 的累积性安全更新 (2809289) 此安全更新解决 Internet Explorer 中的 8 个秘密报告的漏洞和一个公开的漏洞。最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 |
严重 远程执行代码 |
需要重启动 |
Microsoft Windows, Internet Explorer |
|
Silverlight 中的漏洞可能允许远程执行代码 (2814124) 此安全更新解决了 Microsoft Silverlight 中一个秘密报告的漏洞。如果攻击者拥有包含可以利用此漏洞的特制 Silverlight 应用程序的网站,然后诱使用户查看该网站,则该漏洞可能允许执行执行代码。攻击者还可能利用受到破坏的网站以及接受或宿主用户提供的内容或广告的网站。这些网站可能包含可以利用此漏洞的特制内容。但是在所有情况下,攻击者无法强制用户访问这些网站。相反,攻击者必须诱使用户访问该网站,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。它还可能使用横幅广告或其他方式显示特制的 Web 内容,以便将 Web 内容传递至受影响的系统。 |
严重 远程执行代码 |
无需重新启动 |
Microsoft Silverlight |
|
Microsoft Visio Viewer 2010 中的漏洞可能允许远程执行代码 (2801261) 此安全更新解决了 Microsoft Office 中一个秘密报告的漏洞。如果用户打开特制的 Visio 文件,则该漏洞可能允许远程执行代码。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 |
严重 远程执行代码 |
可能要求重新启动 |
Microsoft Office |
|
SharePoint 中的漏洞可能允许特权提升 (2780176) 此安全更新可解决 Microsoft SharePoint 和 Microsoft SharePoint Foundation 中四个秘密报告的漏洞。如果用户单击可将用户定向到目标 SharePoint 网站的特制 URL,则最严重的漏洞可能允许特权提升。 |
严重 特权提升 |
可能要求重新启动 |
Microsoft Office、Microsoft 服务器软件 |
|
Microsoft OneNote 中的漏洞可能允许信息泄露 (2816264) 此安全更新可解决 Microsoft OneNote 中一个秘密报告的漏洞。如果攻击者诱使用户打开特制 OneNote 文件,则此漏洞可能允许信息泄露。 |
重要 信息泄露 |
可能要求重新启动 |
Microsoft Office |
|
Office Outlook for Mac 中的漏洞可能允许信息泄露 (2813682) 此安全更新解决 Microsoft Office for Mac 中一个秘密报告的漏洞。如果用户打开特制的电子邮件,则该漏洞可能允许信息泄露。 |
重要 信息泄露 |
无需重新启动 |
Microsoft Office |
|
内核模式驱动程序中的漏洞可能允许特权提升 (2807986) 此安全更新解决 Microsoft Windows 中三个秘密报告的漏洞。如果攻击者获得对系统的访问权限,这些漏洞中最严重的漏洞可能允许特权提升。 |
重要 特权提升 |
需要重启动 |
Microsoft Windows |
详细信息请参考2013年2月安全公告摘要:
https://technet.microsoft.com/zh-cn/security/bulletin/ms13-mar
微软安全响应中心博客文章(英文):
谢谢!
Richard Chen