CDHaha Download


Archive for the ‘MS13’ Category

[11,488]

Microsoft December 2013 Security Release ISO Image

2013-12-13 |

ISO Image这个 DVD5 ISO 映像文件包含 2013 年 12 月 10 日在 Windows Update 上发布的 Windows 安全更新程序。此映像不包含其他 Microsoft 产品的安全更新程序。此 DVD5 ISO 映像旨在供需要下载每个安全更新程序的多种语言版本,并且不使用诸如 Windows Server Update Services (WSUS) 这样的自动解决方案的管理员使用。您可以使用此 ISO 映像同时下载所有语言的多个更新程序。

重要说明: 在部署这些更新程序之前,请务必查看位于 http://technet.microsoft.com/en-us/security/bulletin 的各个安全公告,以确保文件尚未在更近的日期更新。

此 DVD5 映像包含以下更新程序:
More

[4,667]

MS13-106 Vulnerability in a Microsoft Office Shared Component Could Allow Security Feature Bypass (2905238)

2013-12-13 |

OfficeThis security update resolves one publicly disclosed vulnerability in a Microsoft Office shared component that is currently being exploited. The vulnerability could allow security feature bypass if a user views a specially crafted webpage in a web browser capable of instantiating COM components, such as Internet Explorer. In a web-browsing attack scenario, an attacker who successfully exploited this vulnerability could bypass the Address Space Layout Randomization (ASLR) security feature, which helps protect users from a broad class of vulnerabilities. The security feature bypass by itself does not allow arbitrary code execution. However, an attacker could use this ASLR bypass vulnerability in conjunction with another vulnerability, such as a remote code execution vulnerability that could take advantage of the ASLR bypass to run arbitrary code.

This security update is rated Important for supported editions of Microsoft Office 2007 and Microsoft Office 2010 software. The security update addresses the vulnerability by helping to ensure that the Microsoft Office shared component properly implements ASLR.
More

[12,081]

MS13-105 Vulnerabilities in Microsoft Exchange Server Could Allow Remote Code Execution (2915705)

2013-12-13 |

Exchange Server 2013此安全更新解决 Microsoft Exchange Server 中三个公开披露的漏洞和一个秘密报告的漏洞。Microsoft Exchange Server 的 WebReady Document Viewing 和数据丢失防护功能中存在最严重的漏洞。如果攻击者向受影响的 Exchange Server 中的用户发送包含特制文件的电子邮件,则这些漏洞可能允许在 LocalService 帐户的安全上下文中远程执行代码。LocalService 帐户在本地系统上具有最低特权,在网络上提供匿名凭据。

Microsoft Exchange Server 2007、Microsoft Exchange Server 2010 和 Microsoft Exchange Server 2013 的所有受支持版本,此安全更新等级为“严重”。此安全更新通过将受影响的 Oracle Outside In 库更新至不容易受攻击的版本、按照最佳做法启用计算机身份验证检查 (MAC),以及确保正确清理URL来解决漏洞。
More

[12,849]

MS13-104 Vulnerability in Microsoft Office Could Allow Information Disclosure (2909976)

2013-12-13 |

Office 2013此安全更新可解决 Microsoft Office 中一个秘密报告的漏洞,如果用户尝试打开恶意网站上托管的 Office 文件,则该漏洞可能允许信息泄露。成功利用此漏洞的攻击者可以确定用于在目标 SharePoint 或其他 Microsoft Office Server 站点上对当前用户进行身份验证的访问令牌。

对于 Microsoft Office 2013 和 Microsoft Office 2013 RT 软件的受支持版本,此安全更新的等级为“重要”。该安全更新通过帮助确保 Microsoft Office 软件正确处理来自网站的特制响应来解决漏洞。
More

[4,084]

MS13-103 Vulnerability in ASP.NET SignalR Could Allow Elevation of Privilege (2905244)

2013-12-12 |

.NET Framework此安全更新可解决 ASP.NET SignalR 中一个秘密报告的漏洞。如果攻击者将特制 JavaScript 反映回目标用户的浏览器,则该漏洞可能允许特权提升。

对于 ASP.NET SignalR 版本 1.1.0、1.1.1、1.1.2、1.1.3 和 2.0.0 以及 Microsoft Visual Studio Team Foundation Server 2013 的所有受支持版本,此安全更新的等级为“重要”。该安全更新通过确保 ASP.NET SignalR 正确地对用户输入进行编码来解决漏洞。
More

[11,158]

MS13-102 Vulnerability in LRPC Client Could Allow Elevation of Privilege (2898715)

2013-12-12 |

CSRSS此安全更新可解决 Microsoft Windows 中一个秘密报告的漏洞。如果攻击者欺骗 LRPC 服务器并向任何 LRPC 客户端发送特制 LPC 端口消息,则该漏洞可能允许特权提升。成功利用此漏洞的攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全管理员权限的新帐户。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。

对于 Windows XP 和 Windows Server 2003 的所有受支持版本,此安全更新等级为“重要”。此安全更新通过验证 LRPC 消息来解决漏洞。
More

[11,308]

MS13-101 Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (2880430)

2013-12-12 |

CSRSS此安全更新可解决 Microsoft Windows 中秘密报告的五个漏洞。如果攻击者登录某个系统并运行特制应用程序,更严重的漏洞可能允许特权提升。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。

对于 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 、Windows7、Windows Server 2008 R2、Windows 8、Windows Server 2012 和 Windows RT 的所有受支持的版本,此安全更新的等级为“重要”。对于 Windows 8.1、Windows Server 2012 和 Windows RT 8.1,此安全更新的等级为“中等”。

该安全更新通过更正 Windows 内核模式驱动程序验证内存地址值,通过帮助确保 Windows 内核模式驱动程序正确处理内存中的对象,通过确保 Windows 内核模式驱动程序加载 TrueType 字体文件时正确验证阵列索引,并通过纠正 Windows 音频端口级驱动程序的方式处理内存中的对象的方式来解决这些漏洞。
More

[13,439]

MS13-100 Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2904244)

2013-12-12 |

SharePoint此安全更新可解决 Microsoft Office 服务器软件中多个秘密报告的漏洞。如果经过身份验证的攻击者向 SharePoint 服务器发送特制网页内容,则这些漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以在目标 SharePoint 站点的 W3WP 服务帐户的安全上下文中运行任意代码。

对于 Microsoft SharePoint Server 2013 的受支持版本,Microsoft SharePoint Server 2010 和 Microsoft SharePoint Server 2013 的受支持版本上的受影响的 Microsoft Office Services 和 Web Apps,此安全更新的等级为“重要”。此安全更新通过更正 SharePoint Server 清理特制网页内容的方式来解决这些漏洞。
More

[11,397]

MS13-099 Vulnerability in Microsoft Scripting Runtime Object Library Could Allow Remote Code Execution (2909158)

2013-12-11 |

JScript此安全更新可解决 Microsoft Windows 中一个秘密报告的漏洞。如果攻击者诱使用户访问特制网站或者托管特制内容的网站,则此漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

对于所有支持的 Microsoft Windows 版本上受影响的 Windows Script 5.6、Windows Script 5.7 和 Windows Script 5.8,此安全更新的等级为“严重”。该安全更新通过修改 Microsoft 脚本运行时对象库处理内存中对象的方式来解决漏洞。
More

[11,641]

MS13-098 Vulnerability in Windows Could Allow Remote Code Execution (2893294)

2013-12-11 |

CSRSS此安全更新可解决 Microsoft Windows 中一个秘密报告的漏洞。如果用户或应用程序在受影响的系统上运行或安装特制的、经过签名的可移植可执行 (PE) 文件,则该漏洞可能允许远程执行代码。

对于 Windows 所有受支持的版本,此安全更新的等级为“严重”。

该安全更新通过修改 WinVerifyTrust 功能处理可移植可执行文件的 Windows Authenticode 签名验证的方式来解决漏洞。
More