Biuletyn bezpieczeństwa Microsoft 02/2014

CERT.GOV.PL
Źródło: http://www.cert.gov.pl/cer/wiadomosci/poprawki-i-aktualizacj/677,Biuletyn-bezpieczenstwa-Microsoft-022014.html
Wygenerowano: Sobota, 4 marca 2017, 14:53
Biuletyn bezpieczeństwa Microsoft 02/2014
Firma Microsoft opublikowała lutowy biuletyny bezpieczeństwa, w którym informuje o siedmiu aktualizacjach. Cztery
aktualizacje zostały sklasyfikowane jako „krytyczne”, a trzy aktualizacje zostały sklasyfikowane jako „ważne”.
Biuletyny uznane jako „krytyczne”:
●
●
●
●
MS14-010 - dotyczy luk w przeglądarce internetowej Internet Explorer. Poprawki usuwają dwadzieścia trzy błędy, mogące
pozwolić m.in. na zdalne wykonanie kodu, w przypadku, gdy użytkownik wyświetli specjalnie spreparowaną stronę z
wykorzystaniem przeglądarki Internet Explorer lub na uzyskanie przez atakującego takich samych uprawnień systemowych
jak aktualnie zalogowany użytkownik.
MS14-011 - dotyczy luki w silniku skryptowym VBScript. Aktualizacja usuwa możliwość zdalnego wykonania kodu, w
przypadku, gdy użytkownik wyświetli specjalnie spreparowaną stronę. Atakujący nie ma możliwości wymuszenia
odwiedzenia przedmiotowej strony, lecz musi skłonić użytkowników np. do kliknięcia na odnośnik celem odwiedzenia
złośliwej witryny.
MS14-007 - dotyczy luki w Direct2D. Poprawka usuwa możliwość zdalnego wykonania kodu, w przypadku, gdy użytkownik
wyświetli specjalnie spreparowaną stronę z wykorzystaniem przeglądarki Internet Explorer. Atakujący nie ma możliwości
wymuszenia odwiedzenia przedmiotowej strony, lecz musi skłonić użytkowników np. do kliknięcia na odnośnik lub
otworzenia załącznika wysłanego pocztą elektroniczną celem odwiedzenia złośliwej witryny.
MS14-008 - dotyczy luki w Microsoft Forefront Protection dla Exchange. Aktualizacja usuwa błąd pozwalający na zdalne
wykonanie kodu, w przypadku, gdy specjalnie spreparowaną wiadomość e-mail zostaje przeskanowana.
Biuletyny uznane jako „ważne”:
●
●
●
MS14-009 - dotyczy luk w .NET Framework. Poprawki usuwają dwa błędy, które mogą umożliwić podniesienie uprawnień
użytkownika, w przypadku, gdy odwiedzi on specjalnie spreparowaną stronę lub stronę zawierającą specjalnie
spreparowaną zawartość. Atakujący nie ma możliwości wymuszenia odwiedzenia przedmiotowej strony, lecz musi skłonić
użytkowników np. do kliknięcia na odnośnik celem odwiedzenia złośliwej witryny.
MS14-005 - dotyczy luki w Microsoft XML Core Services. Aktualizacja eliminuje możliwość ujawnienia informacji, jeżeli
użytkownik odwiedzi specjalnie spreparowaną stronę z wykorzystaniem przeglądarki Internet Explorer. Atakujący nie ma
możliwości wymuszenia odwiedzenia przedmiotowej strony, lecz musi skłonić użytkowników np. do kliknięcia na odnośnik
lub otworzenia załącznika wysłanego pocztą elektroniczną celem odwiedzenia złośliwej witryny.
MS14-006 - dotyczy luki w protokole IPv6. Poprawka usuwa możliwość wykonania ataku typu denial of service, w przypadku,
gdy atakujący wyśle dużą ilość specjalnie spreparowanych pakietów IPv6 do podatnego systemu. Aby wykorzystać tą
podatność, komputer atakującego musi należeć do tej samej podsieci co ofiara ataku.
CERT.GOV.PL zaleca użytkownikom i administratorom zastosowanie wszelkich niezbędnych aktualizacji w celu minimalizacji
zagrożeń.
Źródło:
http://technet.microsoft.com/en-us/security/bulletin/ms14-feb
Ocena: 5/5 (1)
IPv6, VBScript, Microsoft .NET Framework, biuletyn
bezpieczeństwa, Microsoft XML, Internet Explorer, Microsoft
Security Bulletin, Microsoft
RD