微软杀死了许多关键缺陷,约0天,不信任一个通配符证书

对于这个12月补丁周二,微软有 发布 十二个安全公告,其中八个被评为至关重要。

那些有关Internet Explorer,Microsoft Edge,JScript和VBScript的累积安全更新,以及Microsoft Windows DNS,Microsoft Graphics组件,Silverlight,Microsoft Office和Microsoft的更新。

“MS15-127看起来特别是‘nasty’。微软中的远程代码执行漏洞’S DNS服务器。 Microsoft将剥削性率为‘2’, but doesn’T提供了许多细节,除了它可以由远程DNS请求触发的事实之外的漏洞的性质,如果您使用暴露于公共互联网的Microsoft DNS服务器,则这是错误的新闻,” 评论 Sans ISC CTO Johannes Ullrich。“在这种情况下,我肯定会加快这个补丁。这是一个脆弱的攻击这个时间。”

“虽然其他关键漏洞通常会在运行Microsoft软件的客户端平台上利用,但是Windows DNS的许多安装将在Internet上公开公开,”注意到Karl Sigler,威胁情报经理,TrustWave。

“漏洞是在免费内存错误后的使用,可以为攻击者提供在本地系统帐户的上下文中远程执行任意代码的功能。该漏洞是由第三方对微软披露的,所以它’在给予用户申请补丁时,可能会发布技术细节和概念证明。”

微软 Office(MS15-131)的更新修复了六种漏洞,其中包括内存损坏漏洞(五个固定),可能导致远程代码执行’S在野外积极剥削。

通过使用受影响的Microsoft Office软件的受影响版本的用户开放特制文件,可以利用缺陷。这样的文件可以通过电子邮件提供,或者可以在用户访问的网站上下载。

MS15-135 Bulletin修复了特权漏洞的四个Windows内核内存高程,其中一个是当前被攻击者利用的。

为了利用这些缺陷,攻击者需要对系统的本地访问并登录,然后部署特制的应用程序以利用漏洞并控制弱势系统。

微软还发布了一个安全咨询,宣布从证书信任列表(CTL)中删除数字证书。

“Microsoft了解* .xboxlive.com的SSL / TLS数字证书,私钥无意识地披露了私钥。证书可用于尝试执行中间人攻击。它不能用于发出其他证书,冒充其他域名,或签名代码,” the company 解释,并指出没有发现使用证书的攻击。他们没有分享事件如何发生。

分享这个