此安全更新可解决 Microsoft Dynamics AX Enterprise Portal 中一个秘密报告的漏洞。如果用户单击特制的 URL 或访问特制网站,该漏洞可能允许特权提升。在电子邮件攻击情形中,攻击者可以通过向目标 Microsoft Dynamics AX Enterprise Portal 网站的用户发送包含特制 URL 的电子邮件,并诱使用户单击此特制 URL 来利用此漏洞。浏览到 Internet 区域中的 Microsoft Dynamics AX Enterprise Portal 网站的 Internet Explorer 8 和 Internet Explorer 9 用户受到的威胁较小。默认情况下,Internet Explorer 8 和 Internet Explorer 9 中的 XSS 筛选器可在 Internet 区域中阻止此攻击。但是,Internet Explorer 8 和 Internet Explorer 9 中的 XSS 筛选器在 Intranet 区域中未启用。
对于 Microsoft Dynamics AX 2012 Enterprise Portal 的所有受支持版本,此安全更新的等级为“重要”。此安全更新通过更正 Microsoft Dynamics AX 2012 Enterprise Portal 验证和清理用户输入的方式来解决该漏洞。
More
此安全更新可解决 Microsoft Lync 中一个公开披露的漏洞和三个秘密报告的漏洞。如果用户查看包含特制 TrueType 字体的共享内容,则这些漏洞最严重时可能允许远程执行代码。
此安全更新可解决 Microsoft .NET Framework 中的一个秘密报告的漏洞。如果用户使用可运行 XAML 浏览器应用程序 (XBAP) 的 Web 浏览器查看特制网页,此漏洞可能允许在客户端系统上远程执行代码。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。Windows .NET Framework 应用程序也可能会使用该漏洞绕过代码访问安全性 (CAS) 限制。在 Web 浏览攻击情形中,攻击者可能拥有一个网站,并在上面放置用来利用此漏洞的网页。另外,接受或宿主用户提供的内容或广告的网站以及受到破坏的网站可能包含可能利用此漏洞的特制内容。但是在所有情况下,攻击者无法强制用户访问这些网站。相反,攻击者必须诱使用户访问该网站,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。
此安全更新可解决 Internet Explorer 中一个公开披露的漏洞和十二个秘密报告的漏洞。最严重的漏洞可能在用户使用 Internet Explorer 查看特制网页时允许远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
此安全更新可解决远程桌面协议中一个秘密报告的漏洞。如果攻击者向受影响的系统发送一系列特制的 RDP 数据包,此漏洞可能允许远程执行代码。默认情况下,任何 Windows 操作系统都未启用远程桌面协议 (RDP)。没有启用 RDP 的系统不受威胁。
此安全更新可解决 Microsoft Office、Microsoft Windows、Microsoft .NET Framework 和 Microsoft Silverlight 中三个公开披露的漏洞和七个秘密报告的漏洞。如果用户打开特制文档或者访问嵌入了 TrueType 字体文件的恶意网页,则这些漏洞中最严重的漏洞可能允许远程执行代码。攻击者无法强迫用户访问恶意网站。相反,攻击者必须诱使用户访问该网站,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。
此安全更新解决 Microsoft Windows 中一个公开披露和一个秘密报告的漏洞。如果攻击者登录某个系统并运行特制应用程序,更严重的漏洞可能允许特权提升。