网站最后更新日期:2020年12月20日
欢迎大家来到畅想资源 AREFLY.COM! 个人网站 更多联络方式
×

微软公布其已存在19年之久的IE远程代码超级漏洞

微软本月安全更新修复了一个潜藏了19年的IE远程代码执行漏洞CVE-2014-6332),可以说是给Windows跌了一个大跟斗。缺陷出现在VBScript的代码中,自Windows 95首次发布(19年前)以来就一直存在,今天“畅想资源”就带大家来看看这一已存在19年之久的IE远程代码超级漏洞的威力吧!

microsoft-cve-2014-6332-img

关于微软安全补丁(实例及预览见下方

微软披露了一个存在于所有Windows版本的高危漏洞。建议所有Windows用户,尤其是执行网站的用户应尽快安装微软周二发布的补丁

据微软的公告称,该高危漏洞存在于微软的安全传输层协议(TLS)和安全套接层协议(SSL)中。因为它不能正确的过滤特殊形式的数据包,这就使得攻击者可以向Windows服务器发送恶意流量远程执行攻击代码

Windows服务器

虽然公告中指出的漏洞主要针对的是Windows服务器,但是该远程代码漏洞对类Windows版本的服务器和客户端也同样很危险,而且也有迹像表明它会对Windows台式机和平板电脑造成威胁。Qualys的工程师Amol Sarwate称,如果用户执行了监视互联网埠和接受加密链接的软件,那么该漏洞就会使客户端机器极易受到攻击。例如,如果用户电脑执行的是 Windows7系统,但安装的却是接受外部链接的FTP服务器或者是客户端上的Web服务器,那么它就很有可能面临被攻击的风险

TLS堆栈

从周二披露的漏洞中我们可以看出今年每个重要的TLS堆栈(包括苹果secure transport、GNUTLS、OpenSSL、NSS和微软SChannel)都存在严重的漏洞。我们知道有时候漏洞只会允许攻击者绕过加密保护而不会造成太大的威胁,但是前段时间披露的OpenSSL中的heartbleed漏洞和周二打上补丁的Windows漏洞就不一样了,攻击者会利用它在受害者机器上窃取高度敏感信息并执行恶意代码

微软的公告中指出该漏洞没有任何的缓和因素和变通方法。老版本和旧版本的Windows系统都有可能受到攻击。公告中还指出,没有证据表明地下工具漏洞利用程序是针对Windows用户而开发的

建议

每个使用Windows电脑的用户,尤其是执行Web和Email服务器的用户都需要立即安装周二发布的补丁。为了您的安全请主动安装补丁,不要风险执行电脑!

预览:Win95+IE3至Win10+IE11全版本执行漏洞(自动打开例如“记事本”等程式)

点击前往“预览页面”(请使用IE浏览器访问!)

由于网站因此被报毒,故不再提供预览!想要亲身体验者,可自己参考下列原始码进行修改!

于Windows 2000下IE 5的效果

microsoft-cve-2014-6332-win-2000-ie-5

于Windows XP下IE 8的效果

microsoft-cve-2014-6332-win-xp-ie-8

欢迎大家提供于不同浏览器、系统下未安装补丁时的效果!

参考

微软公布其存在19年之久的超级漏洞

觉得这篇文章有用吗?分享一下让更多人受益吧!

© 版权声明:本文章采用“姓名标示-非商业性-相同方式分享 4.0 国际(CC BY-NC-SA 4.0)”于“”发布,转载时须以相同方式发布并注明“原文链接”!

本文固定链接:https://www.arefly.com/zh-cn/microsoft-cve-2014-6332/

本文章由“超级efly”于2014年11月25日发表于“电脑”分类

你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站

转载请注明:微软公布其已存在19年之久的IE远程代码超级漏洞 | 畅想资源

关键字:, , ,

如果您对本文有任何疑问或建议,欢迎发送邮件至yifei@hesyifei.com(或通过其它途径)联系我们,谢谢!