此安全更新可解决 Microsoft 输入法编辑器 (IME)(日语)中 1 个私下报告的漏洞。该漏洞可能在安装了 Microsoft IME(日语)的受影响版本的系统上允许基于应用程序沙盒策略执行沙盒逃离。成功利用此漏洞的攻击者可能会逃离容易受到攻击的应用程序的沙盒,并且使用登录用户权限获得受影响的系统的访问权限。如果受影响的系统使用管理权限登录,则攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。
在 Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的所有受支持版本上,此安全更新的等级为“中等”;对于安装了 Microsoft IME(日语)的 Microsoft Office 2007 的所有受支持版本,此安全更新的等级同样为“中等”。此安全更新通过更正 Microsoft IME(日语)组件加载与此漏洞相关联的词典文件的方式来解决此漏洞。
More
此安全更新可解决 Active Directory 联合身份验证服务 (AD FS) 中 1 个私下报告的漏洞。如果用户从应用程序注销后未关闭其浏览器,攻击者在该用户注销后立即在浏览器中重新打开应用程序,则该漏洞可能允许信息泄露。
对于以下情况,此安全更新的等级为“重要”:
安装在 32 位和基于 x64 版本的 Windows Server 2008 上的 AD FS 2.0
安装在基于 x64 版本的 Windows Server 2008 R2 上的 AD FS 2.0
安装在基于 x64 版本的 Windows Server 2012 上的 AD FS 2.1
安装在基于 x64 版本的 Windows Server 2012 R2 上的 AD FS 3.0
此安全更新通过确保注销过程正确注销用户来解决漏洞。
More
This security update resolves a privately reported vulnerability in Microsoft Internet Information Services (IIS) that could lead to a bypass of the “IP and domain restrictions” security feature. Successful exploitation of this vulnerability could result in clients from restricted or blocked domains having access to restricted web resources.
This security update is rated Important for all supported editions of Microsoft Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2 RTM. The security update addresses the vulnerability by changing how IIS handles requests when specific IP and domain restriction configurations exist.
More
此安全更新可解决 Microsoft Windows 中 1 个私下报告的漏洞。当远程桌面协议 (RDP) 无法正确记录审核事件时,该漏洞可能允许绕过安全功能。在任何 Windows 操作系统上,RDP 默认为未启用。未启用 RDP 的系统均不存在这一风险。
对于 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 的所有受支持版本,此安全更新的等级为“重要”。此安全更新通过更正 RDP 处理身份验证和日志记录的方式来解决漏洞。
More
此安全更新可解决 Microsoft SharePoint Server 中 1 个私下报告的漏洞。成功利用此漏洞的经过身份验证的攻击者可能会在当前 SharePoint 网站上该用户的上下文中运行任意脚本。在基于 Web 的攻击情形中,攻击者可能拥有一个经特殊设计的网站,该网站设计用于利用这些漏洞,然后说服用户浏览此网站。攻击者还可能利用受到破坏的网站以及接受或宿主用户提供的内容或广告的网站。这些网站可能包含可以利用这些漏洞的特殊设计的内容。但是在所有情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者必须诱使用户采取行动,方法通常是让用户单击电子邮件或 Instant Messenger 中的链接以使用户链接到攻击者的网站,或者让用户打开通过电子邮件发送的附件。
对于 Microsoft SharePoint Server 2010 的受支持版本,此安全更新等级为“重要”。此安全更新通过修正 SharePoint Server 在 SharePoint 移动浏览器视图中清理修改的列表的方式来解决漏洞。
More
此安全更新可解决 Microsoft .NET Framework 中的 1 个私下报告的漏洞。如果攻击者向使用 .NET Remoting 的受影响的工作站或服务器发送经特殊设计的数据,则该漏洞可能允许特权提升。只有专门设计为使用 .NET Remoting 的自定义应用程序才会让系统受到该漏洞的攻击。
对于 Microsoft Windows 受影响版本上的 Microsoft .NET Framework 1.1 Service Pack 1、Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4、Microsoft .NET Framework 4.5、Microsoft .NET Framework 4.5.1 和 Microsoft .NET Framework 4.5.2,此安全更新的等级为“重要”。此安全更新通过为应用程序内存正确强制实施安全控件来解决漏洞。
More
此安全更新可解决 Microsoft Windows 中 1 个私下报告的漏洞。如果应用程序使用 Microsoft Windows 音频服务,则该漏洞可能允许特权提升。此漏洞本身不允许运行任意代码。该漏洞必须与允许远程执行代码的另一个漏洞一起使用。
对于 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 和 Windows RT 8.1 的所有受支持版本,此安全更新的等级为“重要”。此安全更新通过向 Microsoft Windows 音频服务组件添加其他权限验证来解决漏洞。
More
此安全更新可解决 TCP/IP 在输入/输出控制 (IOCTL) 过程期间公开报告的漏洞。如果攻击者登录系统并运行经特殊设计的应用程序,则该漏洞可能允许特权提升。成功利用此漏洞的攻击者可以在另一进程的上下文中运行任意代码。如果此进程使用管理员特权运行,则攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
对于 Windows Server 2003 的所有受支持版本,此安全更新的等级为“重要”。此安全更新通过更正 Windows TCP/IP 堆栈在处理 IOCTL 期间处理内存中的对象的方式来解决漏洞。
More
此安全更新可解决 Microsoft Office 中 3 个私下报告的漏洞。如果经特殊设计的文件在 Microsoft Office 2007 受影响的版本中打开,则这些漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可能会获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的客户比具有管理用户权限的客户受到的影响要小。
对于 Microsoft Word 2007、Microsoft Word Viewer 和 Microsoft Office 兼容包的受支持版本,此安全更新的等级为“重要”。该安全更新通过更正 Microsoft Office 分析经特殊设计的文件的方式来解决漏洞。
More
This security update resolves a privately reported vulnerability in Microsoft Windows Kerberos KDC that could allow an attacker to elevate unprivileged domain user account privileges to those of the domain administrator account. An attacker could use these elevated privileges to compromise any computer in the domain, including domain controllers. An attacker must have valid domain credentials to exploit this vulnerability. The affected component is available remotely to users who have standard user accounts with domain credentials; this is not the case for users with local account credentials only. When this security bulletin was issued, Microsoft was aware of limited, targeted attacks that attempt to exploit this vulnerability.
This security update is rated Critical for all supported editions of Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2. The update is also being provided on a defense-in-depth basis for all supported editions of Windows Vista, Windows 7, Windows 8, and Windows 8.1. The security update addresses the vulnerability by correcting signature verification behavior in Windows implementations of Kerberos.
More