CVE-2014-4114 和 CVE-2014-3566
这两天关注安全的人员都会特别留意这两个新披露的漏洞:CVE-2014-4114 和 CVE-2014-3566。以下我们就针对这两个漏洞最一些简要说明。
CVE-2014-4114
-------------------------
这个漏洞已经在本周公布的MS14-060更新中被修复,我们建议用户尽快部署安装此安全更新来防范相关的潜在威胁。这个漏洞存在于Windows系统对于OLE内嵌对象的处理方式中。因此尽管是一个操作系统层面的漏洞。但最为常见的载体却是Office文档等支持OLE对象的文件。
作为缓解措施和安全最佳实践。我们建议全部用户在打开不论什么来源不明的文档时要特别注意,尽量不要直接打开由陌生人发送或分享的Office、PDF等文档。有关此漏洞的很多其它技术分析内容,大家能够參考http://www.freebuf.com/news/46956.html。
CVE-2014-3566
-------------------------
在这个漏洞最初被曝光的时候,非常多人将其和不久前的OpenSSL心脏出血(Heartbleed)漏洞相提并论。觉得其危害性堪比Heartbleed。
只是事实的情况并非如此。眼下CVE-2014-3566的主要危害是泄露用户在SSL加密通道中的信息。比方cookie等。但攻击者要实现这一攻击首先要在用户的网络环境中能够截获client和server之间的通信,其次攻击者须要发送大量的请求才干获得一个cookie的完整内容,理论上是发送256次请求能够获得一个字节的信息。因此攻击实施的效率并非太好。
有关此漏洞的技术分析能够參考http://drops.wooyun.org/papers/3194。
这是一个专门针对SSL 3.0的信息泄露漏洞。TLS并不受影响。由于SSL 3.0是一个业界的安全协议,所以它不仅影响微软的Windows系统。还相同影响全部支持SSL 3.0的其它系统和应用。也正是由于这是一个业界协议标准中的安全漏洞,修复起来就没有那么easy,微软眼下无法直接公布一个更新来更改SSL 3.0协议的处理方式。
对于SSL 3.0协议还须要众多厂商和标准组织一起參与,来做出最合适的决定。微软眼下也没有计划全面在Windows中禁用SSL 3.0。原因是如今还有非常大量的server不能支持TLS而仅仅支持SSL,因此全面禁用SSL 3.0势必会造成大量的兼容性问题。对于普通用户而言,我们还是将禁用SSL 3.0作为针对此漏洞的缓解措施。在禁用SSL 3.0后当然client不用再操心由于这个漏洞而导致的信息泄露,但假设用户发现某些HTTPS站点无法訪问,那非常可能是由于该站点仅仅支持SSL。详细在Windows或IE中禁用SSL 3.0的方式请大家參考微软的安全通报3009008。
程凌
微软大中华区安全项目经理
CVE-2014-4114 和 CVE-2014-3566的更多相关文章
- 免费获取一年 AVG Internet Security 2014 和 Antivirus Pro 2014
华为版的 AVG 2014 系列出炉了,用过华为版 2013 系列的童鞋都知道是什么回事,内置一年多的序列号不用那么麻烦去找了. 下载地址: 内置的许可证是:IBY9X-ESYXT-W4BZQ-QI4 ...
- HGE引擎改进——2014/2/18 和 2014/2/27
2014/2/18 更新 hgehelper库:增加hgeSkeleton类,该类用于播放骨骼动画 增加工具骨骼动画编辑器(AnimationEd),该工具用于骨骼动画的编辑 2014/2/27 更新 ...
- ECCV 2014 Results (16 Jun, 2014) 结果已出
Accepted Papers Title Primary Subject Area ID 3D computer vision 93 UPnP: An optimal O(n) soluti ...
- SQL SERVER 2014 下IF EXITS 居然引起执行计划变更的案例分享
这个问题是在SQL SERVER 2005 升级到SQL SERVER 2014的测试过程中一同事发现的.我觉得有点意思,遂稍微修改一下脚本展示出来,本来想构造这样的一个案例来演示,但是畏惧麻烦,遂直 ...
- SQL SERVER 2014 安装图解(含 SQL SERVER 2014 安装程序共享)
开篇介绍 2015年1月1日,新的一年开始之际,本来应该好好做点有意义的事情来跨个年的.结果,老习惯 - 睡觉之前一定要折腾一下电脑,说干就干,给新到的 DELL 电脑装虚机,下载 SQL SERVE ...
- Delphi 和 C++Builder 2014年及以后技术路线图
RAD Studio, Delphi 和 C++Builder 2014年及以后技术路线图 By: Embarcadero News 内容源自Embarcadero新闻组,本人水平有限,欢迎各位高人修 ...
- Autodesk 2014全套密钥
AUTODESK 2014通用安装序列号: 666-69696969 667-98989898 400-45454545 066-66666666 AUTODESK 2014全系列产品密钥 001F1 ...
- 2014年的Google I/O app设计中的材料设计-渣渣的翻译
又是一篇翻译,用了三个多小时.http://android-developers.blogspot.co.id/2014/08/material-design-in-2014-google-io-ap ...
- 漏洞都是怎么编号的CVE/CAN/BUGTRAQ/CNCVE/CNVD/CNNVD
在一些文章和报道中常常提到安全漏洞CVE-1999-1046这样的CVE开头的漏洞编号,这篇文章将常见的漏洞ID的表示方法做下介绍: 1.以CVE开头,如CVE-1999-1046这样的 CVE 的英 ...
- Top 10 Revit Architecture 2014 books
Revit Architecture, along with ArchiCAD, is most used BIM software in architectural design. Although ...
随机推荐
- XPath与lxml类库
有同学说,我正则用的不好,处理HTML文档很累,有没有其他的方法? 有!那就是XPath,我们可以先将 HTML文件 转换成 XML文档,然后用 XPath 查找 HTML 节点或元素. 什么是XML ...
- Web自动化Selenium2环境配置中Selenium IDE的安装
下载的firefox32.0的版本,但是在附件组件中只有selenuim IDE button,本以为这个就是selenium IDE插件,自以为是的后果就是把自己坑了.并且像一些selenium I ...
- Linux下安装Oracle客户端
1.创建用户名和组名 /usr/sbin/groupadd oinstall /usr/sbin/groupadd dba /usr/sbin/useradd -m -g oinstall -G db ...
- Matplotlib基本图形之折线图
Matplotlib基本图形之折线图折线图特点 折线图是用折线将各数据连起来组成的图形常用来观察数据随时间变化的趋势例如:股票价格,温度变化,等等 示例代码: import os import tim ...
- HTTP/1.1协议支持的8种请求方法
方法 说明 GET 获取资源 POST 传输实体主体 PUT 传输文件 DELETE 删除文件 HEAD 获得报文首部 OPTIONS 询问支持的方法 TRACE 追踪路径 CONNECT 要求用隧道 ...
- Leetcode 394.字符串编码
字符串编码 给定一个经过编码的字符串,返回它解码后的字符串. 编码规则为: k[encoded_string],表示其中方括号内部的 encoded_string 正好重复 k 次.注意 k 保证为正 ...
- Codeforces Round #412 Div. 2 补题 D. Dynamic Problem Scoring
D. Dynamic Problem Scoring time limit per test 2 seconds memory limit per test 256 megabytes input s ...
- HDU-4738 Caocao's Bridges,注意重边不是桥!
Caocao's Bridges 题意:曹操赤壁之战后卷土重来,他在n个小岛之间建立了m座桥.现在周瑜只有一颗炮弹,他只能炸毁一座桥使得这些岛屿不再连通.每座桥上都可能会有士兵把手,如果想安放***那 ...
- OkHttpUtil
package jp.co.gunmabank.util import android.os.Handlerimport android.os.Looperimport com.google.gson ...
- 【luogu】P1772物流运输(最短路+DP)
题目链接 对于本题我们设ext[i][j]计算第i个码头在前j天总共有几天不能用(其实就一前缀和),设dis[i][j]是从第i天到第j天不变运输路线的最短路径,设f[i]是前i天运输货物的最小花费. ...