微软已经发布了2月的每月补丁星期二更新,与微软的1月更新不同,此更新至少具有一个很大的惊喜。在每个星期二的补丁程序活动之前,Microsoft都会发出预先通知,以便管理员和用户可以窥探即将发生的事情。对于2月补丁星期二的预先通知,Microsoft最初表示将有5个安全公告,其中不包括Internet Explorer(IE)Web浏览器。事实证明,微软今天发布了七个安全公告,其中包括解决了不少于24个漏洞的大规模IE更新。
IE安全更新影响版本6至11,其中包括23个秘密报告的漏洞,其中一个已公开披露。
Microsoft在其安全公告中将二十一个IE漏洞归为一类,标题为“ Internet Explorer中的多个内存损坏漏洞”。
微软警告说:“当Internet Explorer不正确地访问内存中的对象时,就会存在远程执行代码的漏洞。” “这些漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。”
惠普的零日倡议(ZDI)向Microsoft报告了八个内存漏洞,这是一项购买安全性研究的工作。惠普在最近的一份报告中指出,2013年,它获得的IE漏洞数量超过任何其他软件产品。ZDI现在也为年度Pwn2Own活动做准备(3月12日至13日),如果研究人员能够成功利用Windows 8.1 x64上运行的IE 11,将获得100,000美元的奖励。
此更新中修复的其他IE漏洞包括本地文件安装期间发生的特权提升问题。IE中还修补了一个跨域信息泄露漏洞。
微软在其安全公告中警告说:“ Internet Explorer中存在一个信息泄露漏洞,它可能使攻击者能够访问另一个域或Internet Explorer区域中的信息。” “攻击者可以通过构建特制的网页来利用此漏洞,如果用户查看了该网页,则可以允许信息泄露。”
最终的IE漏洞也是MS14-011公告中的一个漏洞,标题为“ VBscripting Engine中的漏洞可能允许远程执行代码”。
Tripwire的安全研究经理Tyler Reguly告诉eWEEK,IE公告和VBscript公告包含重叠的常见漏洞和披露(CVE)-CVE-2014-0271,这可能与最初被排除在安全漏洞之外有关。预先通知。
微软解释说:“ VBScript引擎处理内存中对象的方式中存在一个远程执行代码漏洞。” “该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。”
总体而言,将IE公告添加到星期二更新的补丁中,对于安全社区中的某些人来说是一个惊喜。
Qualys的首席技术官Wolfgang Kandek对eWEEK表示:“我很惊讶Internet Explorer没有得到预先通知。” “仅遵循ZDI和iDefense的正常错误流程,我们就可以确定必须有安全修复程序在待解决。”
Kandek指出,一种可能的解释是,微软希望等到三月份,使每个人都更难使用Pwn2Own。Kandek补充说,他的团队并不认为这是一种可能的理论,因为推迟这样的错误修复版本并不专业。
坎德克说:“毕竟,他们有技术问题的解释很有意义,我们可以看到存在许多漏洞。”
Rapid7安全工程高级经理Ross Barrett告诉eWEEK,他被告知IE更新最初是由于测试不完整而延迟的。
巴雷特说:“他们在周末工作以完成测试并将其发布。”
除了令人惊讶的关键IE更新之外,还有至少一个其他公告需要注意。MS14-009详细介绍了.NET框架中的漏洞。Reguly指出,已修复的缺陷与Slowloris(一种低带宽拒绝服务(DoS)攻击)有关。Slowloris攻击于2009年首次公开讨论。
Reguly说:“以前没有很多防御措施。” “我并不是说我为他们对此补丁感到惊讶而感到惊讶,看到这个问题得到解决,真是太好了。令人惊讶的是花了这么长时间才能解决这个问题。”
