今天,微软周二发布了每月补丁更新,修复了37个独特的常见漏洞和暴露(CVE),其中26个影响了微软的互联网浏览器。在MS14-051安全公告中修补了IE的25个CVE。在公告中,微软指出,25名CVE被私下报道,而一名CVE此前被公开披露。一个公开披露的IE漏洞被确定为CVE-2014-2819。
微软在其安全公告中警告说:“这些漏洞是由Internet Explorer在某些条件下对权限的不正确验证造成的,这可能允许脚本以提升的权限运行。”
除了周二8月的补丁更新,微软还为其可用性指数创造了一个新的分数。微软在2008年首次发布了可用性指数,以帮助最终用户了解漏洞被利用的可能性。从本月的补丁星期二开始,微软现在增加了一个新的0级,已经在MS14-051公告中使用。评级为0表示检测到漏洞。
Tripwire的安全研究经理Tyler Reguly告诉eWEEK:“可用性指数的0评级早就该出来了,这是一个很大的进步。”“这是一个很好的方法,让人们快速看到并了解自己今天面临的风险,而不是阅读完整的公告来做出决定。”
Core安全和政策高级副总裁Eric Cowperthwaite告诉eWEEK,他喜欢将名称0添加到可用性指数中。郭伯伟说:“微软已经非常明确地指出,目前在野外使用一些东西是非常好的。”“securITy团队、it运营团队等。需要密切关注任何被指定为0的内容;这是非常严重的,需要引起重视。”
随着MS14-051的更新,微软现在已经在IE中启用了一个重要的新安全功能。新功能是防止过时的ActiveX浏览器控件,这可能是用户使用的一种潜在方式。在新的IE补丁中启用这个功能后,微软实际上已经30天没有屏蔽任何东西了。
微软的一位发言人告诉eWEEK:“根据客户的反馈,我们决定等待30天后再阻止任何过时的ActiveX控件。”
发言人解释说,IE用户可以使用新的日志功能来评估其环境中的ActiveX控件,并根据自己的需要部署组策略来强制阻止、关闭特定域的阻止ActiveX控件或完全关闭该功能。
发言人表示:“该功能及相关组策略将于8月12日发布,但所有过期的ActiveX控件要到9月9日(周二)才会被阻止。”
Qualys首席技术官Wolfgang Kandek表示,新的ActiveX阻断技术将是ie安全领域的积极补充。
坎德克在接受《计算机周报》采访时表示:“这是一种轻量级的、常识性的机制,很快得到了缓解。“IE将每12小时检查一次文件的新版本,这将使微软能够对常见攻击提供快速修复,并将其记录在文档中。”