安全补丁" />
10 年前的今天,微软承诺将为该公司包括 Windows 在内的各种软件产品提供更好的安全性,其中一项措施就是为即将发布的安全公告设定一个每月例行的定期计划,微软最终决定将每月的第二个星期二定作为软件的更新日期,这一天被业内称之为“补丁星期二(Patch Tuesday)”。
今天,在“Patch Tuesday”发布十周年之际,微软发布了 2013 年 10 月份的安全补丁,共 8 个,其中有 4 个被标记为”关键”级别,其中包括 1 个影响所有版本的 IE 浏览器,包括将于 10 月 18 日随同 Windows 8.1 发布的 IE11。
1. Internet Explorer 的累积性安全更新 (2879017)
安全公告 MS13-080
级别:严重
摘要:此安全更新可解决 Internet Explorer 中一个公开披露的漏洞和九个秘密报告的漏洞。最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码。成功利用这些最严重的漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
受影响软件:对于 Windows 客户端上的 Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9、Internet Explorer 10 和 Internet Explorer 11,此安全更新的等级为“严重”;对于 Windows 服务器上的 Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9、Internet Explorer 10 和 Internet Explorer 11,此安全更新的等级为“中等”。
2. Windows 内核模式驱动程序中的漏洞可能允许远程执行代码(2870008)
安全公告 MS13-081
级别:严重
摘要:此安全更新可解决 Microsoft Windows 中秘密报告的 7 个漏洞。如果用户查看嵌入 OpenType 或 TrueType 字体文件的共享内容,则这些漏洞中最严重的漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以完全控制受影响的系统。
受影响软件:对于 Microsoft Windows(Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 除外)的所有受支持版本,此安全更新的等级为“严重”。
3. .NET Framework 中的漏洞可能允许远程执行代码(2878890)
安全公告 MS13-082
级别:严重
摘要:此安全更新可解决 Microsoft .NET Framework 中两个秘密报告的漏洞和一个公开披露的漏洞。如果用户使用能够实例化 XBAP 应用程序的浏览器访问包含特制 OpenType 字体 (OTF) 文件的网站,则最严重的漏洞可能允许远程执行代码。
受影响软件:对于受影响的 Microsoft Windows 版本上的 Microsoft .NET Framework 3.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4 和 Microsoft .NET Framework 4.5,此安全更新的等级为“严重”;对于受影响的 Microsoft Windows 版本上的 Microsoft .NET Framework 2.0 Service Pack 2 和 Microsoft .NET Framework 3.5 Service Pack 1,此安全更新的等级为“重要”。
4. Windows 公共控件库中的漏洞可能允许远程执行代码 (2864058)
安全公告 MS13-083
级别:严重
摘要:此安全更新可解决 Microsoft Windows 中一个秘密报告的漏洞。如果攻击者将特制的 Web 请求发送到受影响的系统上运行的 ASP .NET Web 应用程序,该漏洞可能允许远程执行代码。攻击者可能利用此漏洞,无需身份验证即可运行任意代码。
受影响软件:对于 Microsoft Windows 所有受支持的 64 位版本,此安全更新的等级为“严重”。对于 Windows RT 以及 Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows 8 的所有受支持的 32 位版本,此安全更新没有严重等级。
5. Microsoft SharePoint Server 中的漏洞可能允许远程执行代码 (2885089)
安全公告 MS13-084
级别:重要
摘要:此安全更新可解决 Microsoft Office 服务器软件中两个秘密报告的漏洞。如果用户在 Microsoft SharePoint Server、Microsoft Office Services 或 Web Apps 的受影响版本中打开特制 Office 文件,则最严重的漏洞可能允许远程执行代码。
受影响软件:对于 Microsoft SharePoint Server 2007、Microsoft SharePoint Server 2010、Microsoft SharePoint Server 2013、Microsoft SharePoint Services 3.0 和 Microsoft SharePoint Foundation 2010 的受支持版本,此安全更新的等级为“重要”。对于 Microsoft SharePoint Server 2007、Microsoft SharePoint Server 2010 和 Microsoft SharePoint Server 2013 受支持版本上受影响的 Microsoft Office Services 和 Web Apps,此安全更新的等级也为“重要”。
6. Microsoft Excel 中的漏洞可能允许远程执行代码 (2885080)
安全公告 MS13-085
级别:重要
摘要:此安全更新解决 Microsoft Office 中两个秘密报告的漏洞。如果用户使用受影响的 Microsoft Excel 版本或者其他受影响的 Microsoft Office 软件打开特制的 Office 文件,则这些漏洞可能允许远程执行代码。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
受影响软件:对于 Microsoft Office 2007、Microsoft Office 2010、Microsoft Office 2013、Microsoft Office 2013 RT 和 Microsoft Office for Mac 2011 的所有受支持版本,此安全更新的等级为“重要”。对于 Microsoft Excel Viewer 和 Microsoft Office 兼容包的受支持版本,此安全更新的等级也为“重要”。
7. Microsoft Word 中的漏洞可能允许远程执行代码 (2885084)
安全公告 MS13-086
级别:重要
摘要:此安全更新解决 Microsoft Office 中两个秘密报告的漏洞。如果特制文件在 Microsoft Word 的受影响版本或其他受影响的 Microsoft Office 软件中打开,则这些漏洞可能允许远程执行代码。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
受影响软件:对于 Microsoft Word 2003、Microsoft Word 2007 和 Microsoft Office 兼容包的受支持版本,此安全更新的等级为“重要”。
8. Silverlight 中的漏洞可能允许信息泄露 (2890788)
安全公告 MS13-080
级别:重要
摘要:此安全更新解决了 Microsoft Silverlight 中一个秘密报告的漏洞。如果攻击者拥有包含可以利用此漏洞的特制 Silverlight 应用程序的网站,然后诱使用户查看该网站,则该漏洞可能允许信息泄露。攻击者还可能利用受到破坏的网站以及接受或宿主用户提供的内容或广告的网站。此类网站可能包含可以利用此漏洞的特制内容。但是在所有情况下,攻击者无法强制用户访问网站。相反,攻击者必须诱使用户访问该网站,通常是让用户单击电子邮件或 Instant Messenger 消息中的链接使用户链接到攻击者的网站。它还可能使用横幅广告或其他方式显示特制的 Web 内容,以便将 Web 内容传递至受影响的系统。
受影响软件:对于安装在 Mac 和所有受支持的 Microsoft Windows 版本上的 Microsoft Silverlight 5 和 Microsoft Silverlight 5 Developer Runtime,此安全更新的等级为“重要”。