This security update resolves a privately reported vulnerability in Microsoft Internet Information Services (IIS) that could lead to a bypass of the “IP and domain restrictions” security feature. Successful exploitation of this vulnerability could result in clients from restricted or blocked domains having access to restricted web resources.
This security update is rated Important for all supported editions of Microsoft Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2 RTM. The security update addresses the vulnerability by changing how IIS handles requests when specific IP and domain restriction configurations exist.
More
此安全更新可解决 Microsoft Windows 中 1 个私下报告的漏洞。当远程桌面协议 (RDP) 无法正确记录审核事件时,该漏洞可能允许绕过安全功能。在任何 Windows 操作系统上,RDP 默认为未启用。未启用 RDP 的系统均不存在这一风险。
此安全更新可解决 Microsoft SharePoint Server 中 1 个私下报告的漏洞。成功利用此漏洞的经过身份验证的攻击者可能会在当前 SharePoint 网站上该用户的上下文中运行任意脚本。在基于 Web 的攻击情形中,攻击者可能拥有一个经特殊设计的网站,该网站设计用于利用这些漏洞,然后说服用户浏览此网站。攻击者还可能利用受到破坏的网站以及接受或宿主用户提供的内容或广告的网站。这些网站可能包含可以利用这些漏洞的特殊设计的内容。但是在所有情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者必须诱使用户采取行动,方法通常是让用户单击电子邮件或 Instant Messenger 中的链接以使用户链接到攻击者的网站,或者让用户打开通过电子邮件发送的附件。
此安全更新可解决 Microsoft .NET Framework 中的 1 个私下报告的漏洞。如果攻击者向使用 .NET Remoting 的受影响的工作站或服务器发送经特殊设计的数据,则该漏洞可能允许特权提升。只有专门设计为使用 .NET Remoting 的自定义应用程序才会让系统受到该漏洞的攻击。
此安全更新可解决 Microsoft Windows 中 1 个私下报告的漏洞。如果应用程序使用 Microsoft Windows 音频服务,则该漏洞可能允许特权提升。此漏洞本身不允许运行任意代码。该漏洞必须与允许远程执行代码的另一个漏洞一起使用。
此安全更新可解决 TCP/IP 在输入/输出控制 (IOCTL) 过程期间公开报告的漏洞。如果攻击者登录系统并运行经特殊设计的应用程序,则该漏洞可能允许特权提升。成功利用此漏洞的攻击者可以在另一进程的上下文中运行任意代码。如果此进程使用管理员特权运行,则攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
此安全更新可解决 Microsoft Office 中 3 个私下报告的漏洞。如果经特殊设计的文件在 Microsoft Office 2007 受影响的版本中打开,则这些漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可能会获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的客户比具有管理用户权限的客户受到的影响要小。
This security update resolves a privately reported vulnerability in Microsoft Windows Kerberos KDC that could allow an attacker to elevate unprivileged domain user account privileges to those of the domain administrator account. An attacker could use these elevated privileges to compromise any computer in the domain, including domain controllers. An attacker must have valid domain credentials to exploit this vulnerability. The affected component is available remotely to users who have standard user accounts with domain credentials; this is not the case for users with local account credentials only. When this security bulletin was issued, Microsoft was aware of limited, targeted attacks that attempt to exploit this vulnerability.
此安全更新可解决 Microsoft Windows 中 1 个私下报告的漏洞。如果登录用户访问设计为通过 Internet Explorer 调用 Microsoft XML Core Services (MSXML) 的经特殊设计的网站,该漏洞可能允许远程执行代码。但是在所有情况下,攻击者都无法强制用户访问此类网站。相反,攻击者必须诱使用户访问一个网站,方法通常是让用户单击电子邮件或 Instant Messenger 请求中的链接以使用户链接到攻击者的网站。