微软今天发布了每月的补丁星期二更新,修复了37个独特的常见漏洞和披露(CVE),其中26个影响了Microsoft的Internet Explorer。IE的25个CVE都在MS14-051安全公告中进行了修补。在公告中,Microsoft指出25个CVE是私下报告的,而一个CVE以前是公开披露的。一个公开披露的IE漏洞被标识为CVE-2014-2819。
微软在其安全公告中警告说:“这些漏洞是由于Internet Explorer在特定条件下未正确验证权限而导致的,可能允许脚本以提升的特权运行。”
除了8月补丁星期二更新之外,Microsoft还为其可利用性指数创建了新的评分。微软于2008年首次发布其可利用性指数,以帮助最终用户了解漏洞被利用的可能性。从本月的补丁程序星期二开始,Microsoft现在已添加一个新的0等级,该等级已用于MS14-051公告。等级0表示已检测到漏洞利用。
Tripwire的安全研究经理Tyler Reguly 对eWEEK表示: “可利用性指数的0评级早就该提出,而且是一个很大的进步。” “这是让人们快速查看并了解今天对他们有什么风险的好方法,而不必阅读完整的公告来做出决定。”
Core Security高级安全和策略副总裁Eric Cowperthwaite 告诉eWEEK,他喜欢为可利用性指数添加0名称。Cowperthwaite说:“微软非常明确地指出,目前正在野外利用某些东西,这是很好的。” “安全团队,IT运营团队等,需要密切注意指定为0的任何内容;这很严重,需要引起注意。”
通过MS14-051更新,Microsoft现在在IE中启用了一项重要的新安全功能。新功能是能够阻止过时的ActiveX浏览器控件,这可能是用户利用的潜在途径。在新的IE修补程序中启用了该功能后,Microsoft至今实际上还没有阻止任何内容30天。
微软发言人对eWEEK表示: “根据客户的反馈,我们决定等30天再阻止任何过时的ActiveX控件。”
发言人解释说,IE用户可以使用新的日志记录功能来评估其环境中的ActiveX控件,并部署组策略来强制执行阻止,关闭对特定域的阻止ActiveX控件或完全根据其需要关闭该功能。
发言人说:“该功能和相关的组策略将于8月12日发布,但是直到9月9日(星期二)之前,所有过期的ActiveX控件都不会被阻止。”
Qualys的首席技术官Wolfgang Kandek 表示,新的ActiveX阻止技术将成为IE安全领域的积极补充。
“这是一个轻量级的,常识机制得到快速缓解了,” Kandek告诉每周电脑报。“ IE将每12小时检查一次文件的新版本,这将使Microsoft能够提供对常见攻击的快速修复,并记录在文档中。”
