網站最後更新日期:2022年3月25日
歡迎大家來到暢想資源 AREFLY.COM! 個人網站(中) 個人網站(EN) 更多聯絡方式
×

微軟公布其已存在19年之久的IE遠程代碼超級漏洞

微軟本月安全更新修復了一個潛藏了19年的IE遠程代碼執行漏洞CVE-2014-6332),可以說是給Windows跌了一個大跟斗。缺陷出現在VBScript的代碼中,自Windows 95首次發布(19年前)以來就一直存在,今天「暢想資源」就帶大家來看看這一已存在19年之久的IE遠程代碼超級漏洞的威力吧!

microsoft-cve-2014-6332-img

關於微軟安全補丁(實例及預覽見下方

微軟披露了一個存在於所有Windows版本的高危漏洞。建議所有Windows用戶,尤其是執行網站的用戶應盡快安裝微軟周二發布的補丁

據微軟的公告稱,該高危漏洞存在於微軟的安全傳輸層協議(TLS)和安全套接層協議(SSL)中。因為它不能正確的過濾特殊形式的數據包,這就使得攻擊者可以向Windows伺服器發送惡意流量遠程執行攻擊代碼

Windows伺服器

雖然公告中指出的漏洞主要針對的是Windows伺服器,但是該遠程代碼漏洞對類Windows版本的伺服器和客戶端也同樣很危險,而且也有跡像表明它會對Windows台式機和平板電腦造成威脅。Qualys的工程師Amol Sarwate稱,如果用戶執行了監視網際網路埠和接受加密鏈接的軟件,那麼該漏洞就會使客戶端機器極易受到攻擊。例如,如果用戶電腦執行的是 Windows7系統,但安裝的卻是接受外部鏈接的FTP伺服器或者是客戶端上的Web伺服器,那麼它就很有可能面臨被攻擊的風險

TLS堆棧

從周二披露的漏洞中我們可以看出今年每個重要的TLS堆棧(包括蘋果secure transport、GNUTLS、OpenSSL、NSS和微軟SChannel)都存在嚴重的漏洞。我們知道有時候漏洞只會允許攻擊者繞過加密保護而不會造成太大的威脅,但是前段時間披露的OpenSSL中的heartbleed漏洞和周二打上補丁的Windows漏洞就不一樣了,攻擊者會利用它在受害者機器上竊取高度敏感信息並執行惡意代碼

微軟的公告中指出該漏洞沒有任何的緩和因素和變通方法。老版本和舊版本的Windows系統都有可能受到攻擊。公告中還指出,沒有證據表明地下工具漏洞利用程序是針對Windows用戶而開發的

建議

每個使用Windows電腦的用戶,尤其是執行Web和Email伺服器的用戶都需要立即安裝周二發布的補丁。為了您的安全請主動安裝補丁,不要風險執行電腦!

預覽:Win95+IE3至Win10+IE11全版本執行漏洞(自動打開例如「記事本」等程式)

點擊前往「預覽頁面」(請使用IE瀏覽器訪問!)

由於網站因此被報毒,故不再提供預覽!想要親身體驗者,可自己參考下列原始碼進行修改!

於Windows 2000下IE 5的效果

microsoft-cve-2014-6332-win-2000-ie-5

於Windows XP下IE 8的效果

microsoft-cve-2014-6332-win-xp-ie-8

歡迎大家提供於不同瀏覽器、系統下未安裝補丁時的效果!

參考

微軟公布其存在19年之久的超級漏洞

覺得這篇文章有用嗎?分享一下讓更多人受益吧!

© 版權聲明:本文章採用“姓名標示-非商業性-相同方式分享 4.0 國際(CC BY-NC-SA 4.0)”於“”發布,轉載時須以相同方式發布並註明“原文鏈接”!

本文固定鏈接:https://www.arefly.com/zh-hant/microsoft-cve-2014-6332/

本文章由“超級efly”於2014年11月25日發表於“電腦”分類

你可以發表評論,並在保留原文地址及作者的情況下引用到你的網站

轉載請註明:微軟公布其已存在19年之久的IE遠程代碼超級漏洞 | 暢想資源

關鍵字:, , ,

如果您對本文有任何疑問或建議,歡迎發送郵件至yifei@hesyifei.com(或通過其它途徑)聯繫我們,謝謝!