微软发布了2月份的每月补丁星期二更新,这与微软1月份的更新不同。这次更新至少有一个大惊喜。每周二补丁活动前,微软会提前通知,以便管理员和用户可以窥探即将发生的事情。对于周二发布的二月补丁预告,微软最初表示会有五个安全公告,不包括互联网浏览器(IE)网页浏览器。事实上,微软今天发布了7个安全公告,其中包括解决了不少于24个漏洞的大规模IE更新。
IE安全更新影响版本6到11,包括23个秘密报告的漏洞,其中一个已经公开披露。
在安全公告中,微软将21个IE漏洞归为一类,标题为“Internet Explorer中的多个内存损坏漏洞”。
微软警告:“当Internet Explorer不正确地访问内存中的对象时,会存在远程执行代码的漏洞。”“这些漏洞可能会破坏内存,使得攻击者能够在当前用户的上下文中执行任意代码。”
惠普的零日计划(ZDI)向微软报告了八个内存漏洞,这是一项购买安全研究的工作。在最近的一份报告中,惠普指出,在2013年,它获得的IE漏洞比任何其他软件产品都多。ZDI也在为一年一度的Pwn2Own活动(3月12日至13日)做准备。如果研究人员能够成功使用运行在Windows 8.1 x64上的IE 11,他们将获得10万美元的奖励。
此更新中修复的其他IE漏洞包括本地文件安装期间的特权提升。IE还修复了跨域信息泄露漏洞。
微软在其安全公告中警告:“Internet Explorer中存在信息泄露漏洞,这可能允许攻击者访问另一个域或Internet Explorer区域中的信息。”攻击者可以通过构建特制的网页来利用此漏洞,如果用户查看网页,他们可以允许信息泄露
最后一个IE漏洞也是MS14-011公告中的一个漏洞,标题为“VBscripting Engine中的漏洞可能允许远程执行代码”。
Tripwire的安全研究经理Tyler Reguly告诉eWEEK,IE公告和VBscript公告包含重叠的常见漏洞和披露(CVE-2014-0271),这可能与一开始被排除在安全漏洞之外有关。提前通知。
微软解释说:“VBScript引擎处理内存中对象的方式存在远程代码执行漏洞。”“此漏洞可能会破坏内存,使得攻击者能够在当前用户的上下文中执行任意代码。”
总的来说,在周二更新的补丁中加入IE公告,对于安全社区的一些人来说是一个惊喜。
Qualys的Wolfgang Kandek告诉eWEEK:“我很惊讶Internet Explorer没有提前得到通知。”“只有遵循ZDI和iDefense的正常错误流程,我们才能确定一定有安全修复需要解决。”
Kandek指出,一种可能的解释是,微软希望等到3月份,让所有人都更难使用Pwn2Own。Kandek补充说,他的团队不认为这是一个可能的理论,因为推迟这样的错误修复是不专业的。
Kandeke说:“毕竟解释他们的技术问题是有意义的。我们可以看到有很多漏洞。”
Rapid7安全工程高级经理Ross Barrett告诉eWEEK,他被告知IE更新最初因测试不完整而推迟。
巴雷特说:“他们在周末完成测试并发布。”
除了令人惊讶的关键IE更新,至少还有一个公告需要关注。MS14-009描述了中的漏洞。NET框架进行了详细的介绍。Reguly指出,修复的缺陷与Slowloris(低带宽拒绝服务(DoS)攻击)有关。Slowloris攻击首次公开讨论是在2009年。
雷古里说:“以前没有太多的防御措施。”“我不是说我对他们对这个补丁感到惊讶感到惊讶。很高兴看到这个问题得到解决。令人惊讶的是,解决这个问题花了这么长时间。”