上周二微軟發(fā)布其例行補(bǔ)丁，其中包括12個(gè)公告，有四個(gè)被微軟認(rèn)定為“重要”等級(jí)。

專家稱公告MS15-115應(yīng)該為企業(yè)優(yōu)先重視。該公告包含七個(gè)Microsoft Windows漏洞補(bǔ)丁，最嚴(yán)重的漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。兩個(gè)重要的漏洞是由Windows對(duì)Adobe類型管理庫(kù)中的字體處理不當(dāng)引起的。這使得該漏洞能通過(guò)專門制作的網(wǎng)頁(yè)和郵件來(lái)遠(yuǎn)程利用。

[[156090]]

Core Security的CISSP及系統(tǒng)工程師Bobby Kuzma稱字體處理錯(cuò)誤導(dǎo)致如此嚴(yán)重的漏洞是不可忽視的。

“為何認(rèn)為字體處理屬于操作系統(tǒng)內(nèi)核中最敏感的部分?”Kuzma問(wèn)道。“字體美化了作品，然而讓不信任的字體流入系統(tǒng)長(zhǎng)期為人們所忽視，這已經(jīng)遠(yuǎn)不止一次了，九次十次與之相關(guān)的漏洞都有了。”

事實(shí)上，這已經(jīng)是微軟幾年第八次相關(guān)字體處理漏洞了，其中七個(gè)都是“重要”等級(jí)。

Tripwire安全研究員Craig Young以及安全研究主管Tyler Reguly建議企業(yè)應(yīng)優(yōu)先重視MS15-121，無(wú)論公告中是否認(rèn)定其等級(jí)重要與否。

公告包括微軟Windows中安全通道(Schannel)漏洞的一個(gè)安全更新，該漏洞會(huì)導(dǎo)致欺騙和中間人攻擊。

Young稱之為強(qiáng)化通過(guò)微軟Schannel庫(kù)建立安全連接的重要之舉。

“微軟認(rèn)定該補(bǔ)丁同樣重要，使用基于證書身份驗(yàn)證客戶端的系統(tǒng)管理員應(yīng)該將其與客戶端和服務(wù)器視作同等重要，因?yàn)槊枋鲂凸魰?huì)允許惡意服務(wù)器將數(shù)據(jù)注入到會(huì)話的開，且很有可能與違反同源策略的網(wǎng)頁(yè)進(jìn)行交互，”Young說(shuō)道。“此外，這種攻擊的遍體能狗讓攻擊者以使用基于TLS身份驗(yàn)證的其他協(xié)議冒充客戶。這使得該補(bǔ)丁對(duì)于那些使用PEAP的VPN服務(wù)器尤為重要，同時(shí)，部署SASL綁定的活動(dòng)目錄也需要留心。”

MS15-112和MS15-113是微軟IE和Edge瀏覽器的補(bǔ)丁公告。IE的公告包括25個(gè)補(bǔ)丁，其中23個(gè)被評(píng)級(jí)為重要，能導(dǎo)致遠(yuǎn)程控制設(shè)備，Edge的包括4個(gè)補(bǔ)丁，其中3個(gè)為重要，并能導(dǎo)致遠(yuǎn)程控制設(shè)備。

本月最后一個(gè)重要的公告是MS15-114,處理了Windows中的一個(gè)漏洞，當(dāng)用戶打開一個(gè)專門的Windows日志文件時(shí)該漏洞能被利用并導(dǎo)致遠(yuǎn)程控制設(shè)備。該漏洞會(huì)影響Windows所有版本。

MS15-116解決了Microsoft Office中的7個(gè)重要的漏洞，其中5個(gè)在用戶打開專門的Office文件且受影響的用戶有足夠權(quán)限時(shí)會(huì)允許遠(yuǎn)程代碼執(zhí)行。

MS15-117、MS15-118以及MS15-119也是重要的公告，可能導(dǎo)致通過(guò)Wiindows NDIS、.NET框架或Winsock中漏洞獲取高特權(quán)。

MS15-122描述了一個(gè)重要漏洞的具體細(xì)節(jié)，該漏洞允許攻擊者繞過(guò)目標(biāo)機(jī)器上的Kerberos身份驗(yàn)證并解密由BitLocker所保護(hù)的硬盤。不過(guò)微軟稱只有在目標(biāo)系統(tǒng)的BitLocker缺少PIN或USB密鑰時(shí)才會(huì)被利用，計(jì)算機(jī)是通過(guò)域連接的，攻擊者可獲取計(jì)算機(jī)的物理訪問(wèn)權(quán)限。

MS15-120包括IPSec中漏洞的一個(gè)補(bǔ)丁，處理拒絕服務(wù)的漏洞，而MS15-123是商用Skype和微軟同步的一個(gè)安全更新。