微软今天发布了每月的补丁星期二更新,与2月份的情况一样,Internet Explorer(IE)Web浏览器在总数上也占重要位置。Microsoft在星期三的3月补丁程序更新中修复了23个不同的漏洞,涉及五个安全公告。
在23个漏洞中,有18个直接归因于IE。本月修复的IE漏洞之一是“修复”,并考虑升级到IE 11,该漏洞没有受到威胁。
安全专家建议了一些可能的原因,Microsoft尚未在今天之前为CVE-2014-0322安全漏洞提供带外补丁。
CORE Security的工程主管Ken Pickering对eWEEK表示: “显然,任何零日漏洞利用都应受到Microsoft的极大关注。” “鉴于这一事实,我不确定他们为什么不为此发布带外补丁,尽管在更新此补丁之前,可能没有为部署做好准备和充分的测试。
CORE Security的技术支持工程师Tommy Chin表示,可能未实施带外补丁,因为CVE-2014-0322漏洞仅影响具有Adobe Flash的IE10用户,而不会影响Microsoft的“增强缓解经验工具包”(EMET) 。他补充说,即使CVE-2014-0322漏洞利用地址空间布局随机化ASLR旁路,也可以通过IE内存泄漏禁用数据执行保护,但它只能攻击很小的攻击面。
除了CVE-2014-0322漏洞外,IE中还修复了其他17个漏洞,所有这些漏洞都是向Microsoft秘密报告的。
这些漏洞中有六个是通过惠普(HP)的零日措施(ZDI)向微软报告的,该行动为安全研究人员支付了发现费用。惠普可能会在本周从惠普发起的Pwn2own浏览器黑客大赛中向微软发送更多漏洞,在该竞赛中,惠普将为研究人员成功运行Windows 8.1 x64的Microsoft Internet Explorer 11支付10万美元的奖金。对于在64位Windows 8.1操作系统上运行Microsoft Windows Internet Explorer 11并运行增强型缓解体验工具包(EMET)的漏洞,将提供15万美元的奖金。
银光
在3月补丁程序星期二更新中,特别值得注意的是,一个补丁程序会同时影响Microsoft和Apple OS X用户。该MS14-014补丁修复了微软的Silverlight媒体技术一项安全功能绕过。
微软可信赖计算部门经理达斯汀童车,在博客中指出后,该Silverlight的缺陷是没有受到主动攻击。
Childs说:“该更新消除了攻击者可能用来绕过ASLR保护的途径。” “像这样的修补程序增加了攻击者的利用成本,攻击者现在必须找到其他方法来确保其代码执行利用的可靠性。