发布日期: 2014 年 5 月 13 日 | 更新时间: 2014 年 5 月 27 日
版本: 1.2
一般信息摘要此安全更新可解决 Internet Explorer 中两个秘密报告的漏洞。如果用户使用 Internet Explorer 查看特制网页,则所有漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的客户比具有管理用户权限的客户受到的影响要小。
对于受影响的 Windows 客户端上的 Internet Explorer 6 (IE 6)、Internet Explorer 7 (IE 7)、Internet Explorer 8 (IE 8)、Internet Explorer 9 (IE 9)、Internet Explorer 10 (IE 10) 和 Internet Explorer 11 (IE 11),此安全更新的等级为“严重”;对于受影响的 Windows 服务器上的 Internet Explorer 6 (IE 6)、Internet Explorer 7 (IE 7)、Internet Explorer 8 (IE 8)、Internet Explorer 9 (IE 9)、Internet Explorer 10 (IE 10) 和 Internet Explorer 11 (IE 11),此安全更新的等级为“中等”。有关详细信息,请参阅“受影响和不受影响的软件”部分。
此安全更新通过修改 Internet Explorer 处理内存中对象的方式来消除此漏洞。有关漏洞的详细信息,请参阅本公告后面特定漏洞条目的“常见问题 (FAQ)”小节。
建议。 大多数客户均启用了自动更新,他们不必采取任何操作,因为此安全更新将自动下载并安装。有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章 294871。对于未启用了自动更新的客户,可以使用打开或关闭自动更新中的的步骤启用自动更新。
对于管理员、企业安装或者想要手动安装此安全更新的最终用户(包括未启用自动更新的客户),Microsoft 建议客户使用更新管理软件立即应用此更新或者利用 Microsoft Update 服务检查更新。更新也可以通过本公告“受影响的软件”表中的下载链接获取。
另请参阅本公告后面部分中的“检测和部署工具及指导”一节。
知识库文章 知识库文章: 2962482 文件信息: 是 SHA1/SHA2 哈希: 是已知问题: 是更新常见问题
此 Internet Explorer 安全更新 (MS14-029) 是否包括 2014 年 5 月 1 日的带外 Internet Explorer 公告 (MS14-021) 中的修补程序?
是。此安全更新包括 MS14-021 中的修补程序。有关漏洞信息和与 MS14-021 带外公告相关的更新常见问题,请参阅 MS14-021。
针对 Internet Explorer 11 列出了多个更新。我是否需要安装所有更新?
否。根据您的系统配置为接收更新的方式,可能仅其中一个 Internet Explorer 11 更新适用。
对于在 Windows 7 或 Windows Server 2008 R2 上运行 Internet Explorer 11 的系统:
2953522 更新适用于安装了 2929437 更新的系统。 2961851 更新适用于未安装 2929437 更新的系统。对于在 Windows 8.1、Windows Server 2012 R2 或 Windows RT 8.1 上运行 Internet Explorer 11 的系统:
2953522 更新适用于安装了 2919355 更新的系统。 2961851 更新适用于未安装 2919355 更新的系统。 对于 Internet Explorer 11,2953522 更新是否有任何先决条件?
是。在 Windows 8.1、Windows Server 2012 R2 或 Windows RT 8.1 上运行 Internet Explorer 11 的客户必须先安装 2014 年 4 月发布的 2919355 更新,然后再安装 2953522 更新。有关此更必备新的详细信息,请参阅 Microsoft 知识库文章 2919355。
在 Windows 7 或 Windows Server 2008 R2 上运行 Internet Explorer 11 的客户必须先安装 2014 年 4 月发布的 2929437 更新,然后再安装 2953522 更新。有关此更必备新的详细信息,请参阅 Microsoft 知识库文章 2929437。
此更新 MS14-029 是 Internet Explorer 累积性安全更新吗?
否。此安全更新 MS14-029 仅解决此公告中描述的漏洞以及“受影响的软件”表的“替代的更新”列中所示的以前更新中包括的漏洞。
是否需要安装最近的 Internet Explorer 累积安全性更新?
是。此安全更新 MS14-029 不是一个累积性安全更新。装 MS14-029 更新之后,尚未安装最新的 Internet Explorer 累积性安全更新的客户可能会遇到兼容性问题,例如,Internet Explorer 可能间歇性停止响应。
许多资源可帮助管理员部署安全更新。
管理员可使用 Microsoft Baseline Security Analyzer (MBSA) 在本地和远程系统中扫描缺少的安全更新和常见的安全配置错误。 Windows Server Update Services (WSUS)、Systems Management Server (SMS) 和 System Center Configuration Manager 帮助管理员分发安全更新。 Application Compatibility Toolkit 随附的更新兼容性评估程序组件针对安装的应用程序协助简化 Windows 更新的测试和验证。有关可用的这些工具和其他工具的信息,请参阅 IT 专业人员安全工具。
鸣谢Microsoft 感谢下列人员或组织与我们一起致力于保护客户的利益:
Google Security Team 的 Fermin J. Serna 报告了 Internet Explorer 内存损坏漏洞 (CVE-2014-0310) 一名匿名研究人员与 HP\'s Zero Day Initiative 合作报告了 Internet Explorer 内存损坏漏洞 (CVE-2014-0310) Google Security Team 的 Clément Lecigne 报告了 Internet Explorer 内存损坏漏洞 (CVE-2014-1815) 其他信息 Microsoft Active Protections Program (MAPP)为改进客户的安全保护,Microsoft 在发布每月安全更新之前将向主要的安全软件供应商提供漏洞信息。然后,安全软件供应商可以使用该漏洞信息通过其安全软件或者设备向客户提供更新的保护,例如防病毒、基于网络的入侵检测系统或者基于主机的入侵防止系统。要确定是否可从安全软件供应商处得到活动保护,请转到计划合作伙伴(在 Microsoft Active Protections Program (MAPP) 合作伙伴中列出)提供的活动保护网站。
支持如何获取此安全更新的帮助和支持
有关安装更新的帮助: Microsoft Update 支持面向 IT 专业人员的安全解决方案: TechNet 安全故障排除和支持帮助保护运行 Windows 的计算机免遭病毒和恶意软件攻击: 病毒解决方案和安全中心本地支持(根据您的国家/地区): 国际支持免责声明Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。