您好,欢迎访问一月份微软发布补丁程序的博客。微软在一月份的星期二补丁日共发布了4个漏洞公告,其中有2个漏洞评为严重级别。
像往常一样,我们建议客户遵守以下最佳的安全规则:
您可通过以下链接查询微软2017年1月发布的漏洞总结: http://technet.microsoft.com/en-us/security/bulletin/ms17-jan
以下内容是本月处理问题的详细内容:
MS17-001 微软Edge浏览器安全性更新(3214288)微软评级: 重要级
微软Edge 浏览器特权提升漏洞 (CVE-2017-0002) 微软评级:重要级
一种特权提升漏洞,在微软Edge浏览器错误使用浏览器空白页打开命令(about:blank)执行跨域策略时出现。网络攻击者可借此获取一个域中的信息,并将其输入至另一个域。成功利用此漏洞的网络攻击者可提升其在受影响微软Edge浏览器中的权限。
MS17-002 微软Office软件安全性更新(3214291)微软评级: 严重级
微软Edge 浏览器内存破坏漏洞 (CVE-2017-0003) 微软评级:严重级
微软Office软件未能正确处理内存对象时,在该软件中出现远程代码执行漏洞。成功利用该漏洞的攻击者可在当前用户的背景中运行任意代码。如果当前用户以管理员用户权限登录,则攻击者可控制受影响系统。之后,攻击者可安装程序;查看、更改或删除数据;或用其完整的用户权限创建新账户。系统上拥有较小用户权限的用户受到的影响要小于那些拥有管理用户权限的用户。
MS17-003 Adobe Flash Player安全性更新(3214628)微软评级: 严重级
这种安全更新解决了以下的漏洞问题,Adobe 安全公告APSB17-02也对此加以介绍:CVE-2017-2925、CVE-2017-2926、CVE-2017-2927、CVE-2017-2928、CVE-2017-2930、CVE-2017-2931、CVE-2017-2932、CVE-2017-2933、CVE-2017-2934、CVE-2017-2935、CVE-2017-2936、CVE-2017-2937。
MS17-004 本地安全认证子系统服务拒绝服务(3216771) 微软评级: 重要级
本地安全认证子系统服务拒绝服务漏洞 (CVE-2017-0003) 微软评级:重要级
一种拒绝服务漏洞,在本地安全认证子系统服务 (LSASS)处理认证请求时出现。成功利用此漏洞的网络攻击者可使目标系统LSASS服务拒绝服务,从而引起系统自动重启。
有关一月份处理漏洞的更多信息,请访问赛门铁克安全响应网站以免费查看。我们的用户可通过赛门铁克DeepSight威胁管理系统查看。