发布日期: 2014 年 4 月 8 日 | 更新日期: 2014 年 6 月 30 日
版本: 1.2
一般信息摘要此安全更新解决 Internet Explorer 中的六个秘密报告的漏洞。如果用户使用 Internet Explorer 查看特制网页,则这些漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
对于受影响的 Windows 客户端上的 Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9 和 Internet Explorer 11,此安全更新的等级为“严重”;对于受影响的 Windows 服务器上的 Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9 和 Internet Explorer 11,此安全更新的等级为“中等”。有关详细信息,请参阅本节中“受影响和不受影响的软件”小节。
此安全更新通过修改 Internet Explorer 处理内存中对象的方式来消除此漏洞。有关这些漏洞的详细信息,请参阅下一节“漏洞信息”下面特定漏洞条目的“常见问题 (FAQ)”小节。
建议。 大多数客户均启用了自动更新,他们不必采取任何操作,因为此安全更新将自动下载并安装。尚未启用“自动更新”的客户必须检查更新,并手动安装此更新。有关自动更新中特定配置选项的信息,请参阅 Microsoft 知识库文章 294871。
对于管理员、企业安装或者想要手动安装此安全更新的最终用户,Microsoft 建议客户使用更新管理软件立即应用此更新或者利用 Microsoft Update 服务检查更新。
另请参阅本公告后面部分中的“检测和部署工具及指导”一节。
更新常见问题Internet Explorer 10 不受漏洞影响。什么是适用于 Internet Explorer 10 的 2936068 更新?
对于 Internet Explorer 10,2936068 更新是非安全更新。换句话说,仅包括非安全相关的修补程序。有关此更新中包含的非安全相关的修补程序的详细信息和下载链接,请参阅 Microsoft 知识库文章 2950467。
此更新 2936068 (MS14-018) 是否是适用于 Internet Explorer 11 的累积性更新?
否。对于 Internet Explorer 11,此安全更新 2936068 (MS14-018) 不是累积性更新。此更新仅解决此公告中描述的漏洞。
请注意,对于 Internet Explorer 所有其他受支持的版本,此更新是一个累积性更新。
对于 Internet Explorer 11,我是否需要安装 Internet Explorer 的最新累积性更新 MS14-012?
是。在所有情况下,2936068 (MS14-018) 更新可保护客户免受本公告中讨论的漏洞危害。但是,未安装最新 Internet Explorer 累积性安全更新的 Internet Explorer 11 客户可能会在安装 2936068 (MS14-018) 更新后遇到兼容性问题。
Internet Explorer 11 客户需要确保安装最新的 Internet Explorer 累积性安全更新 MS14-012 以避免兼容性问题。
我已经安装了适用于 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的 2919355 更新;我是否需要安装适用于 Internet Explorer 11 的2936068 更新?
否。如果您已经安装 2919355 更新,则不需要安装 2936068 更新来免受此公告中描述的漏洞影响。2919355 更新已经包含 2936068 更新安装的适用于 Internet Explorer 11 的更新文件。
我已经安装了适用于 Windows 7 和 Windows Server 2008 R2 的 2929437 更新。我是否需要安装适用于 Internet Explorer 11 的 2936068 更新?
否。如果您已经安装 2929437 更新,则不需要安装 2936068 更新来免受此公告中描述的漏洞影响。2929437 更新已经包含 2936068 更新安装的适用于 Internet Explorer 11 的更新文件。
什么是 2919355 和 2929437 更新?
2014 年 4 月的 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 更新 (2919355) 是适用于 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的累积性更新。除了这些操作系统的以前更新之外,它包括增强功能(例如面向企业应用程序改进的 Internet Explorer 11 兼容性)、可用性改进、扩展的移动设备管理和改进的硬件支持。此外,对于 Windows Server 2012 R2,它包括面向托管商的群集配置支持。有关详细信息,请参阅 Microsoft 知识库文章 2919355。
2014 年 4 月的 Windows 7 和 Windows Server 2008 R2 更新 (2929437) 是 Windows 7 和 Windows Server 2008 R2 上 Internet Explorer 11 的累积性更新。除了这些操作系统上 Internet Explorer 11 的以前更新之外,它包括增强功能,例如面向企业应用程序改进的 Internet Explorer 11 兼容性。有关详细信息,请参阅 Microsoft 知识库文章 2929437。
服务器核心安装如何受此公告中解决的漏洞影响?
正如不适用的软件表所示,当使用服务器核心安装选项进行安装时,此更新所解决的漏洞不会影响 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 或 Windows Server 2012 R2 的受支持版本。有关此安装选项的详细信息,请参阅 TechNet 文章,管理服务器核心安装: 概述,保养服务器核心安装,和 服务器核心与完整服务器集成概述。
此更新为何消除了多个已报告的安全漏洞?
此更新之所以包含对某些漏洞的支持,是因为解决这些问题所需的修改位于相关的文件中。
我正在使用本安全公告中讨论的软件的较旧版本。我该怎么办?
已对本公告中列出的受影响的软件进行测试,以确定受到影响的版本。其他版本的支持生命周期已结束。有关产品生命周期的详细信息,请参阅 Microsoft 产品技术支持生命周期网站。
使用该软件的较旧版本的客户应优先考虑迁移到受支持的版本,以防止可能会受到新出现漏洞的影响。要确定您的软件版本的技术支持生命周期,请参阅选择一项产品以获取生命周期信息。有关这些软件版本的 Service Pack 的详细信息,请参阅Service Pack 生命周期支持策略。
如果用户需要获得较旧软件的定制支持,则必须与其 Microsoft 客服小组代表、其技术客户经理或适当的 Microsoft 合作伙伴代表联系以了解定制支持选项。没有联合合同、优先支持合同或授权合同的客户可与其当地的 Microsoft 销售分支机构联系。有关联系信息,请参阅 Microsoft Worldwide Information 网站,在联系信息列表中选择国家/地区,然后单击“Go”以查看电话号码列表。在拨打电话时,请找当地的“企业技术咨询支持服务”销售经理进行洽谈。有关详细信息,请参阅 Microsoft 技术支持生命周期策略常见问题。
鸣谢Microsoft 感谢下列人员或组织与我们一起致力于保护客户的利益:
一名匿名研究人员与 HP\'s Zero Day Initiative 合作报告了 Internet Explorer 内存损坏漏洞 (CVE-2014-0325) Palo Alto Networks 的 Dr. Bo Qu 报告了 Internet Explorer 内存损坏漏洞 (CVE-2014-1751) Palo Alto Networks 的 Dr. Bo Qu 报告了 Internet Explorer 内存损坏漏洞 (CVE-2014-1752) Trend Micro 的 Yuki Chen 与 HP\'s Zero Day Initiative 合作报告了 Internet Explorer 内存损坏漏洞 (CVE-2014-1753) 096dc2a463051c0ac4b7caaf233f7eff 和 AMol NAik 与 VeriSign iDefense Labs 合作报告了 Internet Explorer 内存损坏漏洞 (CVE-2014-1755) HP\'s Zero Day Initiative 的 Abdul-Aziz Hariri 报告了 Internet Explorer 内存损坏漏洞 (CVE-2014-1760) 其他信息 Microsoft Active Protections Program (MAPP)为改进客户的安全保护,Microsoft 在发布每月安全更新之前将向主要的安全软件供应商提供漏洞信息。然后,安全软件供应商可以使用该漏洞信息通过其安全软件或者设备向客户提供更新的保护,例如防病毒、基于网络的入侵检测系统或者基于主机的入侵防止系统。要确定是否可从安全软件供应商处得到活动保护,请转到计划合作伙伴(在 Microsoft Active Protections Program (MAPP) 合作伙伴中列出)提供的活动保护网站。
支持如何获取此安全更新的帮助和支持
有关安装更新的帮助: Microsoft Update 支持面向 IT 专业人员的安全解决方案: TechNet 安全故障排除和支持帮助保护运行 Windows 的计算机免遭病毒和恶意软件攻击: 病毒解决方案和安全中心本地支持(根据您的国家/地区): 国际支持免责声明Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。