微软今天发布了2010年11月份安全公告,共有3个安全补丁,其中只有1个为危急级别,另外两个为重要级别,修复了11个存在于Office和Forefront Unified Access Gateway中远程代码执行和权限提升漏洞。
遗憾的是,本次发布的补丁并没有修复上周被曝光的IE漏洞。微软当前正在调查该漏洞,它会引发远程代码执行,并且波及当前所有操作系统上的除了IE9以外的所有IE版本。如果有必要,微软会在每月的例行补丁日之外发布紧急补丁,修复该漏洞。
1、公告编号:MS10-087
知识库编号:KB2423930
摘要:修复了Office中的远程代码攻击漏洞。
修复了微软Office中一项公开揭露的漏洞和四项未公开报告的漏洞。最严重的漏洞可能会在使用者开启或预览蓄意制作的电子邮件时的RTF ,允许远程代码执行。成功利用这类任一漏洞的攻击者可以取得与本机使用者相同的使用者权限。系统上帐户使用者权限较低的使用者,其受影响的程度比拥有系统管理权限的使用者要小。
最高安全级别:危急
影响软件:Office XP SP3、Office 2003 SP3、Office 2007 SP2、Office 2010、Office 2004 for Mac、Office 2008 for Mac、Office for Mac 2011
2、公告编号:MS10-088
知识库编号:KB2293386
摘要:修复了PowerPoint中的远程代码攻击漏洞。
修复了微软Office中两项未公开报告的漏洞,这些漏洞可在使用者开启蓄意制作的PowerPoint演示档案时,允许执行远程代码。成功利用这些漏洞的攻击者可以取得受影响系统的完整控制权。攻击者接下来将能安装程式,检视,变更或删除资料,或建立具有完整使用者权限的新帐户。系统上帐户使用者权限较低的使用者,其受影响的程度比拥有系统管理权限的使用者要小。
最高安全级别:重要
影响软件:Office XP SP3、Office 2003 SP3、Office 2007 SP2、Office 2010、Office 2004 for Mac、Office 2008 for Mac、Office for Mac 2011
3、公告编号:MS10-089
知识库编号:KB2316074
摘要:修复了Forefront Unified Access Gateway(UAG)中的权限提升漏洞。
修复了Forefront Unified Access Gateway(UAG)中四项未公开报告的漏洞。如果使用者透过蓄意制作的网址造访受影响的网站,这些漏洞中最严重者可能会允许权限提高。然而,攻击者并不能强制使用者造访这类网站,而是引诱使用者自行前往。一般的做法是设法让使用者点击电子邮件或的MSN消息中通往攻击者网站的链接。
最高安全级别:重要
影响软件:Forefront Unified Access Gateway 2010