微软8月补丁:IE又独占，Win7/Win8.1中枪

IT之家（www.ithome.com）：微软8月补丁：IE又独占，Win7/Win8.1中枪

今天，微软如期发布8月份安全更新，受影响的产品涉及Windows、OneNote 2007、SQL Server 2008及以上、SharePoint Server 2013、Windows Media Center TV Pack以及桌面Windows平台。

本次，微软推送了9枚安全更新，累计修复了37枚通用产品漏洞。其中一枚IE累积功能更新补丁修复了26个可能导致内存溢出的漏洞，而且均标记为严重安全级别、易受攻击。

其他安全更新补丁分别修复了Win7、Win8.1、OneNote 2007等桌面产品。

微软8月补丁内容详情：

? MS14-051：Internet Explorer积存信息安全更新(2976627)

此信息安全更新可解决Internet Explorer中一项公开揭露的信息安全风险，以及二十五项未公开报告的信息安全风险。其中最严重的信息安全风险，可能在使用者以Internet Explorer检视蓄意制作的网页时允许远程执行程序代码。成功利用这些信息安全风险的攻击者可以取得与目前使用者相同的用户权力。系统上帐户用户权力较低的客户，其受影响的程度比拥有系统管理权限的客户要小。

? MS14-043：Windows Media Center中的信息安全风险可能会允许远程执行程序代码(2978742)

此信息安全更新可解决Microsoft Windows中一项未公开报告的信息安全风险。如果使用者开启蓄意制作、可呼叫Windows Media Center资源的Microsoft Office档案，此信息安全风险可能会允许远程执行程序代码。成功利用此信息安全风险的攻击者可以取得与目前使用者相同的用户权力。系统上帐户用户权力较低的客户，其受影响的程度比拥有系统管理权限的客户要小。

? MS14-048：OneNote中的信息安全风险可能会允许远程执行程序代码(2977201)

此信息安全更新可解决Microsoft OneNote中一项未公开报告的信息安全风险。如果在受影响版本的Microsoft OneNote中开启蓄意制作的档案，此信息安全风险可能会允许远程执行程序代码。成功利用此信息安全风险的攻击者可以取得与目前使用者相同的用户权力。系统上帐户用户权力较低的客户，其受影响的程度比拥有系统管理权限的客户要小。

? MS14-044：SQL Server中的信息安全风险可能会允许提高权限(2984340)

这个安全性更新可解决Microsoft SQL Server中两项未公开报告的信息安全风险(一个是在SQL Server Master Data Services中，另一个则在SQL Server关系数据库管理系统中)。这些信息安全风险较严重者除了影响SQL Server Master Data Services之外，同时如果使用者浏览了蓄意制作的网站，而该网站在使用者的Internet Explorer实例中放入客户端脚本，这时就可能允许提高权限。无论如何，攻击者无法强迫使用者检视受攻击者控制的内容，而是引诱使用者自行前往。一般的做法是设法让用户点选电子邮件讯息或Instant Messenger中通往攻击者网站的连结，或设法让他们开启经由电子邮件传送的附件。

? MS14-045：内核模式驱动程序中的信息安全风险可能会允许特权提升(2984615)

这个信息安全更新可解决Microsoft Windows中三项未公开报告的信息安全风险。如果攻击者登入系统并执行蓄意制作的应用程序，则最严重的信息安全风险可能会允许特权提升。攻击者必须拥有有效的登入认证，并能够登入本机，才能利用这些信息安全风险。

? MS14-049：Windows Installer服务中的信息安全风险可能会允许特权提升(2962490)

此信息安全更新可解决Microsoft Windows中一项未公开揭露的信息安全风险。如果攻击者执行蓄意制作的应用程序，尝试修复先前安装的应用程序，则此信息安全风险可能会允许特权提升。攻击者必须拥有有效的登入认证，并能够登入本机，才能利用这项信息安全风险。

? MS14-050：在Microsoft SharePoint Server中的信息安全风险可能会允许特权提升(2977202)

这个信息安全更新可解决Microsoft .SharePoint Server中一项未公开报告的信息安全风险。成功利用此信息安全风险且通过验证的攻击者，可在目前SharePoint网站上，以使用者的权限层级利用蓄意制作的应用程序来执行任意JavaScript。

? MS14-046：.NET Framework中的信息安全风险可能会允许信息安全功能略过(2984625)

这个信息安全更新可解决Microsoft .NET Framework中一项未公开报告的信息安全风险。如果用户造访蓄意制作的网站，此信息安全风险可能会允许信息安全功能略过。在网页浏览攻击的案例中，成功利用此信息安全风险的攻击者可以略过地址空间随机加载(ASLR)安全性功能，而此功能可协助保护用户免于广泛类别的信息安全风险侵扰。略过安全性功能本身不会允许执行任意程序代码。但是，攻击者利用此ASLR略过信息安全风险时，可能会搭配另一个利用ASLR略过来执行任意程序代码的信息安全风险(例如远程执行程序代码信息安全风险)。

? MS14-047：LRPC中的信息安全风险可能会允许信息安全功能略过(2978668)

此信息安全更新可解决Microsoft Windows中一项未公开报告的信息安全风险。如果攻击者利用此信息安全风险搭配另一个会利用ASLR略过来执行任意程序代码的信息安全风险(例如远程执行程序代码信息安全风险)，此信息安全风险可能会允许信息安全功能略过。