网站最后更新日期:2022年3月25日
欢迎大家来到畅想资源 AREFLY.COM! 个人网站(中) 个人网站(EN) 更多联络方式
×

微軟公布其已存在19年之久的IE遠程代碼超級漏洞

微軟本月安全更新修復了一個潛藏了19年的IE遠程代碼執行漏洞CVE-2014-6332),可以說是給Windows跌了一個大跟斗。缺陷出現在VBScript的代碼中,自Windows 95首次發布(19年前)以來就一直存在,今天「暢想資源」就帶大家來看看這一已存在19年之久的IE遠程代碼超級漏洞的威力吧!

microsoft-cve-2014-6332-img

關於微軟安全補丁(實例及預覽見下方

微軟披露了一個存在於所有Windows版本的高危漏洞。建議所有Windows用戶,尤其是執行網站的用戶應盡快安裝微軟周二發布的補丁

據微軟的公告稱,該高危漏洞存在於微軟的安全傳輸層協議(TLS)和安全套接層協議(SSL)中。因為它不能正確的過濾特殊形式的數據包,這就使得攻擊者可以向Windows伺服器發送惡意流量遠程執行攻擊代碼

Windows伺服器

雖然公告中指出的漏洞主要針對的是Windows伺服器,但是該遠程代碼漏洞對類Windows版本的伺服器和客戶端也同樣很危險,而且也有跡像表明它會對Windows台式機和平板電腦造成威脅。Qualys的工程師Amol Sarwate稱,如果用戶執行了監視網際網路埠和接受加密鏈接的軟件,那麼該漏洞就會使客戶端機器極易受到攻擊。例如,如果用戶電腦執行的是 Windows7系統,但安裝的卻是接受外部鏈接的FTP伺服器或者是客戶端上的Web伺服器,那麼它就很有可能面臨被攻擊的風險

TLS堆棧

從周二披露的漏洞中我們可以看出今年每個重要的TLS堆棧(包括蘋果secure transport、GNUTLS、OpenSSL、NSS和微軟SChannel)都存在嚴重的漏洞。我們知道有時候漏洞只會允許攻擊者繞過加密保護而不會造成太大的威脅,但是前段時間披露的OpenSSL中的heartbleed漏洞和周二打上補丁的Windows漏洞就不一樣了,攻擊者會利用它在受害者機器上竊取高度敏感信息並執行惡意代碼

微軟的公告中指出該漏洞沒有任何的緩和因素和變通方法。老版本和舊版本的Windows系統都有可能受到攻擊。公告中還指出,沒有證據表明地下工具漏洞利用程序是針對Windows用戶而開發的

建議

每個使用Windows電腦的用戶,尤其是執行Web和Email伺服器的用戶都需要立即安裝周二發布的補丁。為了您的安全請主動安裝補丁,不要風險執行電腦!

預覽:Win95+IE3至Win10+IE11全版本執行漏洞(自動打開例如「記事本」等程式)

點擊前往「預覽頁面」(請使用IE瀏覽器訪問!)

由於網站因此被報毒,故不再提供預覽!想要親身體驗者,可自己參考下列原始碼進行修改!

於Windows 2000下IE 5的效果

microsoft-cve-2014-6332-win-2000-ie-5

於Windows XP下IE 8的效果

microsoft-cve-2014-6332-win-xp-ie-8

歡迎大家提供於不同瀏覽器、系統下未安裝補丁時的效果!

參考

微软公布其存在19年之久的超级漏洞

觉得这篇文章有用吗?分享一下让更多人受益吧!

© 版权声明:本文章采用“姓名标示-非商业性-相同方式分享 4.0 国际(CC BY-NC-SA 4.0)”于“”发布,转载时须以相同方式发布并注明“原文链接”!

本文固定链接:https://www.arefly.com/microsoft-cve-2014-6332/

本文章由“超级efly”于2014年11月25日发表于“电脑”分类

你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站

转载请注明:微軟公布其已存在19年之久的IE遠程代碼超級漏洞 | 畅想资源

关键字:, , ,

如果您对本文有任何疑问或建议,欢迎发送邮件至yifei@hesyifei.com(或通过其它途径)联系我们,谢谢!