首页 > 要闻 > > 正文
2021-02-26 17:09:19

微软今天发布了每月的补丁星期二更新这次共修补了29个常

导读 微软今天发布了每月的补丁星期二更新,这次共修补了29个常见漏洞和披露(CVE)。在29个CVE中,有24个归因于Microsoft的Internet Explo

微软今天发布了每月的补丁星期二更新,这次共修补了29个常见漏洞和披露(CVE)。在29个CVE中,有24个归因于Microsoft的Internet Explorer(IE)Web浏览器。MS14-037安全公告中详细介绍了所有IE漏洞。尽管在7月补丁星期二更新中修复了24个固定的IE CVE,看起来似乎很多,但实际上,它还不到Microsoft在上个月的6月补丁星期二更新中修复的59个IE漏洞的一半。

本月修复的IE中24个IE漏洞中,网络供应商Palo Alto Networks发现了10个。

帕洛阿尔托网络威胁研究团队积极探讨广泛使用的软件,如Internet Explorer关键的,未知的漏洞,”在帕洛阿尔托网络资深网络分析师Scott Simkin,告诉每周电脑报。“我们通过结合专有的自动化工具和人工智能来做到这一点。”

Simkin说,Palo Alto的研究团队致力于找出漏洞,并与Microsoft共享以进行修补,并为自己的客户提供保护。Palo Alto报告的10个漏洞影响IE版本6、7、8、9、10和11。所有Palo Alto Networks报告的IE漏洞都是内存损坏漏洞,它们有可能潜在地实现完整的远程代码执行。

IE修复程序中还包括通过惠普零日倡议(ZDI)向Microsoft报告的四个(CVE-2014-1763,CVE-2014-1765,CVE-2014-2809和CVE-2014-2813)修复程序。

Rapid7安全工程高级经理Ross Barrett指出,在7月补丁星期二进行的更新中,有一些是ZDI 最初在3月份Pwn2own浏览器黑客挑战中向微软披露的问题。

巴雷特说:“这些都是本地的特权提升问题,无特权的用户或过程可以通过这些问题获得更大的访问权限。” “显然,它们已被用于连锁攻击中,以取得折衷,鉴于其披露的性质,必须知道它们已经存在利用代码。”

IE的持续修补对于IBM Security的X-Force Research经理Robert Freeman并不感到惊讶。Freeman告诉eWEEK: “由于许多组织将IE设置为默认浏览器,因此IE是攻击者的成熟目标。” “与此有关的挑战是,组织很难避免IE不断增长的漏洞。