六月补丁日 微软发布大量IE安全更新

当地时间本周二，微软发布了七个安全公告和更新，共解决66个安全漏洞。

总体而言，其中59个漏洞补丁在一个更新中，作为IE浏览器的一个累积更新。该累积更新和另一个对Windows和Office影响重大的更新被评为紧急更新。其中一个IE浏览器漏洞已被公开披露。

•MS14-035：Internet Explorer的累积安全更新（2969262）。在这个累积更新中，几乎所有59个漏洞补丁都在至少一个Windows和Internet Explorer版本中被评为紧急更新，不过其漏洞的严重程度与版本组合是较为复杂的。微软表扬了至少32名研究人员（有些是匿名的），感谢他们披露了这些漏洞。一段时间以来，微软也一直在收集这些漏洞，其中一个编号为CVE-2014-1770的安全漏洞，便是由惠普旗下的零日计划（Zero-Day Initiative，简称ZDI）在半年前报告给微软的。虽然ZDI往往会等到供应商发布了修复补丁后再披露某一漏洞，但根据他们的规定，半年后，无论情况如何，他们都将披露这一漏洞。

这个更新的另一有趣之处在于，微软还提到了Windows XP是否会受到影响：我们还可以从我们自己的测试中确认，Windows XP系统虽然不能接收这些安全更新，但Windows POSReady可以。

•MS14-036：微软图形组件可允许远程代码执行漏洞（Microsoft Graphics Component Could Allow Remote Code Execution）（2967487）。这个更新解决了Windows和Office 2007、2010和Lync中的两个漏洞。在某些平台上，这两个漏洞为高危漏洞。

其余漏洞更新是用来修复严重性漏洞的。每个更新对应修复一个漏洞。

•MS14-030：远程桌面中的漏洞可能允许篡改（Vulnerability in Remote Desktop Could Allow Tampering）（2969259）。这是一个不同寻常的漏洞，能够允许攻击者修改一个有效RDP会话网站流量内容。微软一直通过网络级身份验证（NLA）和良好的防火墙阻拦该漏洞，而且在任何情况下，微软认为它不太可能能成功地攻击代码。

•MS14-031：TCP协议中的漏洞可能允许拒绝服务（Vulnerability in TCP Protocol Could Allow Denial of Service）（2962478）。攻击者通过该漏洞可能会致使一个系统停止响应。微软认为它不太可能能成功地攻击代码。

•MS14-032：微软Lync服务器中的漏洞可能允许信息披露（Vulnerability in Microsoft Lync Server Could Allow Information Disclosure）（2969258）。这一漏洞使得Lync Server内容有可能在用户的浏览器中执行脚本，从Web会话中获取信息。微软认为它不太可能能成功地攻击代码。

•MS14-033：微软XML核心服务中的漏洞可能允许信息泄露（Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure ）（2966061） - XML处理可能会允许攻击者获取更多不应访问的信息。微软认为它不太可能能成功地攻击代码。

•MS14-034：Microsoft Word中的漏洞可能允许远程执行代码（Vulnerability in Microsoft Word Could Allow Remote Code Execution）（2969261）。这一漏洞使得Word嵌入字体的处理可能会被滥用，使得攻击者能够远程执行代码，具有与允许Word用户相同的权限。

在周二补丁日这天，微软还发布了大量非安全漏洞更新。绝大多数更新都是针对Windows 8和8.1的，少数更新针对Windows RT和Windows Server 2012，其中有两处更新是针对Windows 7和Windows Server 2008 R2推出的。

最新版本的微软恶意软件删除工具也已推出，并会在用户运行Windows Update时自动运行。新版本增加了检测和清除Win32/Necurs恶意软件的功能。