运维人员的补丁盛宴 四月修复微软Adobe漏洞合计过百!
2024-06-15 06:34:01
运维人员的补丁盛宴 四月修复微软Adobe漏洞合计过百!
文/图 王文文
北京时间2010年4月14日,微软发布了四月安全公告,共11个,用于修复Windows操作系统及Office等软件的大约92个漏洞,数量惊人。修复了上个月爆出的“F1帮助”漏洞,但缺席了Windows7平台的IE8补丁。另外,Adobe公司也在同一天发布安全公告,并修复了15个漏洞。
MS10-019
Windows 中的漏洞可能允许远程执行代码 (981210)
此安全更新解决 Windows Authenticode 验证中可能允许远程执行代码的两个秘密报告的漏洞。 成功利用此漏洞的***者可以完全控制受影响的系统。 ***者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
MS10-020
SMB 客户端中的漏洞可能允许远程执行代码 (980232)
此安全更新解决 Microsoft Windows 中一个公开披露的漏洞和若干个秘密报告的漏洞。 如果***者将特制的 SMB 响应发送到客户端发起的 SMB 请求,此漏洞可能允许远程执行代码。要利用这些漏洞,***者必须诱使用户建立与特制的 SMB 服务器的 SMB 连接。
MS10-025
Microsoft Windows Media Services 中的漏洞可能允许远程执行代码 (980858)
此安全更新解决在 Microsoft Windows 2000 Server 上运行的 Windows Media Services 中秘密报告的漏洞。 如果***者将特制的传输信息包发送到运行 Windows Media Services 的 Microsoft Windows 2000 Server 系统,此漏洞可能允许远程执行代码。 采用防火墙最佳做法和标准的默认防火墙配置,有助于保护网络免受从企业外部发起的***。 按照最佳做法,应使连接到 Internet 的系统所暴露的端口数尽可能少。 在 Microsoft Windows 2000 Server 上,Windows Media Services 是可选组件,在默认情况下并未安装。
MS10-026
Microsoft MPEG Layer-3 编码×××中的漏洞可能允许远程执行代码 (977816)
此安全更新解决 Microsoft MPEG Layer-3 音频编码×××中秘密报告的漏洞。 如果用户打开包含 MPEG Layer-3 音频流的特制的 AVI 文件,此漏洞可能允许远程执行代码。 如果用户使用管理用户权限登录,成功利用此漏洞的***者便可完全控制受影响的系统。 ***者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
MS10-027
Windows Media Player 中的漏洞可能允许远程执行代码 (979402)
此安全更新可解决 Windows Media Player 中一个秘密报告的漏洞。 如果 Windows Media Player 打开恶意网站上特制的媒体内容,此漏洞可能允许远程执行代码。 成功利用此漏洞的***者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
MS10-021
Windows 内核中的漏洞可能允许特权提升 (979683)
此安全更新可解决 Microsoft Windows 中许多秘密报告的漏洞。 如果***者本地登录并运行特制应用程序,其中最严重的漏洞可能允许特权提升。 ***者必须拥有有效的登录凭据并能本地登录才能利用这些漏洞。 匿名用户无法利用这些漏洞,也无法以远程方式利用这些漏洞。
MS10-022
VBScript 中的漏洞可能允许远程执行代码 (981169)
此安全更新解决 Microsoft Windows 上的 VBScript 中可能允许远程执行代码的公开披露的漏洞。 对于 Microsoft Windows 2000、Windows XP 和 Windows Server 2003,此安全更新的等级为“重要”。在 Windows Server 2008、Windows Vista、Windows 7 和 Windows Server 2008 R2 上,无法利用这个容易受到***的代码,但由于存在该代码,所以此更新将作为纵深防御措施提供,并且没有严重等级。
如果恶意网站在网页上显示特制的对话框,并且用户按了 F1 键,导致以***者提供的 Windows 帮助文件启动 Windows 帮助系统,则此漏洞可能允许远程执行代码。 如果用户使用管理用户权限登录,成功利用此漏洞的***者便可完全控制受影响的系统。
MS10-023
Microsoft Office Publisher 中的漏洞可能允许远程执行代码 (981160)
此安全更新解决了 Microsoft Office Publisher 中一个秘密报告的漏洞,如果用户打开特制的 Publisher 文件,则该漏洞可能允许远程执行代码。 成功利用此漏洞的***者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
MS10-024
Microsoft Exchange 和 Windows SMTP 服务中的漏洞可能允许拒绝服务 (981832)
此安全更新解决 Microsoft Exchange 和 Windows SMTP 服务中一个公开披露的漏洞和一个秘密报告的漏洞。 如果***者将特制的 DNS 响应发送到运行 SMTP 服务的计算机,其中最严重的漏洞可能允许拒绝服务。 默认情况下,Windows Server 2003、Windows Server 2003 x64 Edition 或 Windows XP Professional x64 Edition 上未安装 SMTP 组件。
MS10-028
Microsoft Visio 中的漏洞可能允许远程执行代码 (980094)
此安全更新解决 Microsoft Office Visio 中两个秘密报告的漏洞。 如果用户打开特制的 Visio 文件,这些漏洞可能允许远程执行代码。 成功利用这些漏洞的***者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
MS10-029
Windows ISATAP 组件中的漏洞可能允许欺骗 (978338)
此安全更新解决 Microsoft Windows 中一个秘密报告的漏洞。 对于 Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008,此安全更新的等级为“中等”。由于 Windows 7 和 Windows Server 2008 R2 包含由此安全更新部署的功能,所以这些操作系统不容易受到***。
此漏洞可能允许***者欺骗 IPv4 地址,以便它可绕过依赖源 IPv4 地址的筛选设备。 通过更改 Windows TCP/IP 堆栈检查经过隧道传输的 ISATAP 数据包中的源 IPv6 地址的方式,此安全更新解决了漏洞。
本周二也同样是Adobe的补丁日,包括Adobe Reader在内的几个严重漏洞的更新被公布。各单位可以趁现在用新的自动更新器同时更新Adobe Reader和Acrobat。
在Adobe Reader中的漏洞可以让一个***者在受害者机器中执行专门的代码。Adobe公司在4月份一共在Adobe Reader和Acrobat中修复了15个漏洞。
从09年10月份开始,Adobe公司就一直在测试新的“自动更新”功能。这个功能可以给予用户自动下载和安装补丁的选择。
来自Adobe官方的声音:
2010年4月13日,作为我们更新周期的一部分,我们将为所有需要Acrobat 9.3.2和8.2.2的Windows和苹果用户激活新的升级器。在操作过程中,我们可以在用户当前的升级设置中找到Adobe Reader和Acrobat 参数,就在升级器的面板中……
51CTO王文文:勇夺漏洞王桂冠之后,Adobe也开始学微软搞周二补丁日了。现在连自动更新也学过来了。不过让人遗憾的是……他们连修复漏洞的速度也学了微软(周期偏长),不过可以看到,他们还是在努力了。希望以后能再做改进。
想要获取本月Adobe补丁详情的用户请访问:
Adobe Reader 9.3.2 update
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=4660&fileID=4357
Adobe Reader 8.2.2 update
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=4661&fileID=4349
【51CTO.COM 独家报道,转载请注明出处及作者!】
转载于:https://blog.51cto.com/verdureorange/294925
运维人员的补丁盛宴 四月修复微软Adobe漏洞合计过百!相关推荐
- 运维人员打字耍不要快_Linux运维人员应该知道的系统故障排查及修复方法
今天小编要跟大家分享的文章是关于Linux运维人员应该知道的系统故障排查及修复方法.熟悉Linux的小伙伴都知道,Linux系统在启动过程中会出现一些故障,导致系统无法正常启动,小编在文章中分享了几个 ...
- 开发者论坛一周精粹(第十九期) :【重要事件】运维人员注意啦:NetSarang的Xmanager和Xshell多种产品被植入后门...
摘要: 安全公司发现官方发布的软件版本中,nssock2.dll模块源码被植入后门.由于使用该软件的技术人员较多,存在一定的安全风险. 目前官方已经发布了xshell最高版本为 Xshell 5 Bu ...
- 运维人员处理云服务器故障的方法总结
2019独角兽企业重金招聘Python工程师标准>>> 我们团队为Ucloud云计算服务提供专家技术支持,每天都要碰到无数的用户故障,毕竟IAAS涉及比较底层的东西,不管设计的是大客 ...
- 网络安全运维人员面临的痛点分析
1. 工作压力大:网络安全运维人员需要时刻关注系统的安全状况,发现并修复漏洞,保护系统免受攻击和数据泄露的风险.这需要他们不断学习新知识.掌握新技能,并且在短时间内快速响应和处理各种安全问题,这种高强 ...
- linux有数据恢复工具吗,Linux运维人员必备的数据恢复工具有哪些?
今天小编要跟大家分享的文章是关于Linux运维人员必备的数据恢复工具有哪些?相信对于很多正在从事Linux运维工作,或者是其他Linux运维爱好者都需要重点.无论你使用的是台式电脑还是笔记本,需要关注 ...
- NC运维人员拓展知识 之 开发工具入门(一)
对于NC系统运维人员,通常情况下接触到较多的是NC前端问题处理,问题集中于业务之上.但是有时也会出现系统报错,例如,"****Exception",甚至出现"未知的错误& ...
- IT运维人员工作手册通用版
企业运维(IT)人员工作手册 作者:职道 1. 目地: 为了明确运维技术人员工作职责.规范运维人员工作行为.保证运维服务质量和做好运维服务管理工作. 2. 范围: 适用范围:企业总部各中心各部门.分公 ...
- 自动化渗透测试平台对于运维人员到底有多少爽?
说到自动化渗透测试平台,悬镜小编想起来近年来流行的一种安全理念:"DevSecOps",一种全新的安全理念与模式,从DevOps的概念延伸和演变而来,其核心理念为安全是整个IT团队 ...
- 跟老男孩学Linux运维:Web集群实战(运维人员必备书籍)
号外,号外! 1.<跟老男孩学习Linux运维:核心命令案例精讲> 紧张编写中,已过半. 2.<老男孩的MySQL私房菜>即将出版, 紧张编写中,已过2/3. 3.<跟老 ...
最新文章
- ListT 循环修改其中的数据
- java soap附件_java - 附件在SoapUI中工作,但在Java中不能使用SAAJ API吗? - 堆栈内存溢出...
- 多元统计分析最短距离法_聚醚多元醇的合成
- cdb内存 oracle,【CDB】怎样修改PDB的内存参数
- sql server查询历史进程_学习笔记 | SequoiaDB SQL查询语句执行过程
- Springmvc,Spring MVC文件上传
- 错误请联系管理员文件 index.php,帝国CMS订单、反馈信息、投稿与留言发邮件通知管理员的方法...
- opencv如何把一个矩阵不同列分离开_学习OPEN_CV
- [Usaco2005 Jan]Muddy Fields泥泞的牧场
- stats | nls——求解非线性回归的待定参数
- Python使用线性回归简单预测数据
- pytesseract识别数字
- java 社招 简历_招聘java简历模板
- php可以用wamp哪个好,PHPWAMP好吗?phpwamp怎么用?PHPWAMP和其他集成环境有什么区别吗??...
- 第3章 Kafka API
- php音乐地址外链,音乐外链地址的获取
- java禁止夏令时_在指定时区导入日期时间,忽略夏令时
- 从底层结构开始学习FPGA(4)----MUX多路选择器(Multiplexer)
- 1000亿!苹果挨欧盟反避税第一刀,下一个是谁?
- 大数定理的MATLAB编程,用MATLAB模拟大数定律和中心极限定理.pdf