发布日期:2014-10-21
更新日期:2014-10-24
受影响系统:
Microsoft Windows Vista
Microsoft Windows Server 2012
Microsoft Windows Server 2008
Microsoft Windows RT
Microsoft Windows 8.1
Microsoft Windows 8
Microsoft Windows 7
描述:
BUGTRAQ ID: 70690
CVE(CAN) ID: CVE-2014-6352
OLE(对象链接与嵌入)是一种允许应用程序共享数据和功能的技术。UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术。
Microsoft Windows在OLE组件的实现上存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞执行远程代码。此漏洞源于没有正确处理含有OLE对象的Office文件。
<*来源:Microsoft
Drew Hintz
Shane Huntley
Matty Pellegrino
Haifei Li
Bing Sun
链接:https://technet.microsoft.com/library/security/3010060
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
*应用Microsoft Fix it解决方案,"OLE packager Shim Workaround",防止利用此漏洞。
*不要打开可疑源的Microsoft PowerPoint文件或其他文件。
*启用UAC。
*部署Enhanced Mitigation Experience Toolkit 5.0,并配置Attack Surface Reduction。
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: