SSL信息
10月11日起,微软以一种新的方式为其系统修复漏洞。本文将对这种方式的不同之处以及它的时间表进行说明:
1、周二补丁日(每月第二个周二或者说B周的周二):周二补丁日将发布两个主要组件:
- 一个只涉及安全问题的更新:这是一个修复了当月所有安全问题的单独的更新。此更新将会在Windows服务器 更新服务(WSUS)上发布,可以由其他工具(如ConfigMgr和Windows Update Catalog)使用。此更新包不适用于通过Windows Update程序进行更新的PC用户.
- 一个月度安全补丁汇总:这是一个包含当月所有安全补丁(与此前提到的更新程序相同)以及此前所有月份的安全性补丁的单独的更新程序。它可以适用于通过Windows Update程序进行更新的PC用户。
2、每月第三个周二(C周周二):这是一个月度安全补丁汇总,包括将于次月发布的新的非安全性补丁的预告,以及此前所有月份的补丁。该程序是为了让用户在下个月更新程序发布之前检测他们的系统。它在WSUS、Windows update 和Windows Update Catalog上均可用。
IE浏览器的更新也包括在上述两个组件之中。.NET也将会遵循相似的更新准则。由于10月11日恰好是周二补丁日(也就是B周),所以计算机管理员们需要关注下面这些安全补丁:
共发布10个安全更新,涉及浏览器、Office、GDI、内核驱动程序、注册表、信息服务、Messaging等,还更新了Adobe Flash。其中五个是关键更新,四个是重要更新,还有一个是中等级更新。有趣的是,其中五个更新每个都至少存在一个0-day漏洞,而这些漏洞都已经被广泛利用过了。
关于GDI+的公告MS16-120中提到一个这样的0-day漏洞,它使得攻击者在一台计算机浏览一个恶意网页时,可以完全控制该计算机。关于IE浏览器和Edge浏览器的公告MS16-118和MS16-119也提到,修复了一个0-day漏洞,攻击者可以利用该漏洞进行远程代码执行(RCE)。这种攻击要想成功,需要目标用户使用上述两种浏览器之一来访问攻击者创建的恶意网页。
关于Office的公告MS16-121提到,修复了10月的第四个0-day漏洞。该漏洞是一个文件格式问题,如果攻击者能够以邮件附件的形式向目标用户发送一个RTF文件或者诱使用户在线浏览这个RTF文件,那么攻击者就能够成功地利用该漏洞侵入用户的计算机,并完全控制它。
MS16-126公告提到了这次更新的最后一个0-day漏洞,也是唯一一个中等级漏洞。它影响到互联网通信API组件。该漏洞使得攻击者可以远程检测目标用户计算机上的文件是否存在。由于该漏洞已被利用,所以我把它排在前面一点,这是因为通过该漏洞可以获取对进一步攻击有所帮助的信息。
MS16-122公告提到一个Microsoft Video Control中的远程代码执行漏洞,攻击者可以利用该漏洞完全控制目标计算机。
内核模式驱动程序(MS16-123)、Windows注册表(MS16-124)和诊断中心(MS16-125)是等级相同的漏洞,排名较低(攻击者需要某些有效凭证才能对它们进行攻击)。利用这些漏洞,攻击者可以提高账户权限。
总的来说,这是一个中等程度的B周安全更新,但由于大量0-day补丁的存在,我们仍然称它为一次关键更新。
稿源:The Hacker News, Qualys Blog