CDHaha Download

此安全更新可解决 Microsoft Windows 中一个秘密报告的漏洞。该漏洞在用户登录系统并运行特制应用程序时允许提升特权。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。

对于 Windows 7 和 Windows Server 2008 R2 的所有受支持版本，此安全更新等级为“重要”。此安全更新通过更正 Windows 处理线程拥有对象的方式来解决该漏洞。
More

此安全更新可解决 Microsoft Windows 中一个公开披露的漏洞。此漏洞在攻击者登录系统并运行特制应用程序时允许提升特权。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。

对于 Windows XP 和 Windows Server 2003 的所有受支持版本，此安全更新等级为“重要”。此安全更新通过更正传递到 NDProxy.sys 内核组件的输入信息的验证方式来解决该漏洞。此安全更新也解决了最初在 Microsoft 安全通报 2814486 中描述的漏洞。
More

此安全更新可解决 Microsoft Office 中 3 个秘密报告的漏洞。如果特制文件在 Microsoft Word 的受影响版本或其他受影响的 Microsoft Office 软件中打开，则这些漏洞可能允许远程执行代码。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

对于 Microsoft Word 2003、Microsoft Word 2007、Microsoft Word 2010、Microsoft Word 2013、Microsoft Word 2013 RT 的所有支持版本，以及 Microsoft SharePoint Server 2010、Microsoft SharePoint Server 2013 和 Microsoft Web Apps Server 2013 的受支持版本上受影响的 Microsoft Office 服务和 Web Apps，此安全更新的等级为“重要”。对于 Microsoft Word Viewer 和 Microsoft Office 兼容包的受支持版本，此安全更新的等级也为“重要”。该安全更新通过更正 Microsoft Office 分析特制文件的方式来解决漏洞。
More

这个 DVD5 ISO 映像文件包含 2013 年 12 月 10 日在 Windows Update 上发布的 Windows 安全更新程序。此映像不包含其他 Microsoft 产品的安全更新程序。此 DVD5 ISO 映像旨在供需要下载每个安全更新程序的多种语言版本，并且不使用诸如 Windows Server Update Services (WSUS) 这样的自动解决方案的管理员使用。您可以使用此 ISO 映像同时下载所有语言的多个更新程序。

重要说明： 在部署这些更新程序之前，请务必查看位于 http://technet.microsoft.com/en-us/security/bulletin 的各个安全公告，以确保文件尚未在更近的日期更新。

此 DVD5 映像包含以下更新程序：
More

This security update resolves one publicly disclosed vulnerability in a Microsoft Office shared component that is currently being exploited. The vulnerability could allow security feature bypass if a user views a specially crafted webpage in a web browser capable of instantiating COM components, such as Internet Explorer. In a web-browsing attack scenario, an attacker who successfully exploited this vulnerability could bypass the Address Space Layout Randomization (ASLR) security feature, which helps protect users from a broad class of vulnerabilities. The security feature bypass by itself does not allow arbitrary code execution. However, an attacker could use this ASLR bypass vulnerability in conjunction with another vulnerability, such as a remote code execution vulnerability that could take advantage of the ASLR bypass to run arbitrary code.

This security update is rated Important for supported editions of Microsoft Office 2007 and Microsoft Office 2010 software. The security update addresses the vulnerability by helping to ensure that the Microsoft Office shared component properly implements ASLR.
More

此安全更新解决 Microsoft Exchange Server 中三个公开披露的漏洞和一个秘密报告的漏洞。Microsoft Exchange Server 的 WebReady Document Viewing 和数据丢失防护功能中存在最严重的漏洞。如果攻击者向受影响的 Exchange Server 中的用户发送包含特制文件的电子邮件，则这些漏洞可能允许在 LocalService 帐户的安全上下文中远程执行代码。LocalService 帐户在本地系统上具有最低特权，在网络上提供匿名凭据。

Microsoft Exchange Server 2007、Microsoft Exchange Server 2010 和 Microsoft Exchange Server 2013 的所有受支持版本，此安全更新等级为“严重”。此安全更新通过将受影响的 Oracle Outside In 库更新至不容易受攻击的版本、按照最佳做法启用计算机身份验证检查 (MAC)，以及确保正确清理URL来解决漏洞。
More

此安全更新可解决 Microsoft Office 中一个秘密报告的漏洞，如果用户尝试打开恶意网站上托管的 Office 文件，则该漏洞可能允许信息泄露。成功利用此漏洞的攻击者可以确定用于在目标 SharePoint 或其他 Microsoft Office Server 站点上对当前用户进行身份验证的访问令牌。

对于 Microsoft Office 2013 和 Microsoft Office 2013 RT 软件的受支持版本，此安全更新的等级为“重要”。该安全更新通过帮助确保 Microsoft Office 软件正确处理来自网站的特制响应来解决漏洞。
More

此安全更新可解决 ASP.NET SignalR 中一个秘密报告的漏洞。如果攻击者将特制 JavaScript 反映回目标用户的浏览器，则该漏洞可能允许特权提升。

对于 ASP.NET SignalR 版本 1.1.0、1.1.1、1.1.2、1.1.3 和 2.0.0 以及 Microsoft Visual Studio Team Foundation Server 2013 的所有受支持版本，此安全更新的等级为“重要”。该安全更新通过确保 ASP.NET SignalR 正确地对用户输入进行编码来解决漏洞。
More

此安全更新可解决 Microsoft Windows 中一个秘密报告的漏洞。如果攻击者欺骗 LRPC 服务器并向任何 LRPC 客户端发送特制 LPC 端口消息，则该漏洞可能允许特权提升。成功利用此漏洞的攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全管理员权限的新帐户。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。

对于 Windows XP 和 Windows Server 2003 的所有受支持版本，此安全更新等级为“重要”。此安全更新通过验证 LRPC 消息来解决漏洞。
More

此安全更新可解决 Microsoft Windows 中秘密报告的五个漏洞。如果攻击者登录某个系统并运行特制应用程序，更严重的漏洞可能允许特权提升。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。

对于 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 、Windows7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 的所有受支持的版本，此安全更新的等级为“重要”。对于 Windows 8.1、Windows Server 2012 和 Windows RT 8.1，此安全更新的等级为“中等”。

该安全更新通过更正 Windows 内核模式驱动程序验证内存地址值，通过帮助确保 Windows 内核模式驱动程序正确处理内存中的对象，通过确保 Windows 内核模式驱动程序加载 TrueType 字体文件时正确验证阵列索引，并通过纠正 Windows 音频端口级驱动程序的方式处理内存中的对象的方式来解决这些漏洞。
More