zoukankan      html  css  js  c++  java
  • CVE-2014-4114 和 CVE-2014-3566

    

    这两天关注安全的人员都会特别留意这两个新披露的漏洞:CVE-2014-4114 和 CVE-2014-3566。以下我们就针对这两个漏洞最一些简要说明。

    CVE-2014-4114
    -------------------------

    这个漏洞已经在本周公布的MS14-060更新中被修复,我们建议用户尽快部署安装此安全更新来防范相关的潜在威胁。这个漏洞存在于Windows系统对于OLE内嵌对象的处理方式中。因此尽管是一个操作系统层面的漏洞。但最为常见的载体却是Office文档等支持OLE对象的文件。

    作为缓解措施和安全最佳实践。我们建议全部用户在打开不论什么来源不明的文档时要特别注意,尽量不要直接打开由陌生人发送或分享的Office、PDF等文档。有关此漏洞的很多其它技术分析内容,大家能够參考http://www.freebuf.com/news/46956.html

    CVE-2014-3566
    -------------------------

    在这个漏洞最初被曝光的时候,非常多人将其和不久前的OpenSSL心脏出血(Heartbleed)漏洞相提并论。觉得其危害性堪比Heartbleed。

    只是事实的情况并非如此。眼下CVE-2014-3566的主要危害是泄露用户在SSL加密通道中的信息。比方cookie等。但攻击者要实现这一攻击首先要在用户的网络环境中能够截获client和server之间的通信,其次攻击者须要发送大量的请求才干获得一个cookie的完整内容,理论上是发送256次请求能够获得一个字节的信息。因此攻击实施的效率并非太好。

    有关此漏洞的技术分析能够參考http://drops.wooyun.org/papers/3194

    这是一个专门针对SSL 3.0的信息泄露漏洞。TLS并不受影响。由于SSL 3.0是一个业界的安全协议,所以它不仅影响微软的Windows系统。还相同影响全部支持SSL 3.0的其它系统和应用。也正是由于这是一个业界协议标准中的安全漏洞,修复起来就没有那么easy,微软眼下无法直接公布一个更新来更改SSL 3.0协议的处理方式。

    对于SSL 3.0协议还须要众多厂商和标准组织一起參与,来做出最合适的决定。微软眼下也没有计划全面在Windows中禁用SSL 3.0。原因是如今还有非常大量的server不能支持TLS而仅仅支持SSL,因此全面禁用SSL 3.0势必会造成大量的兼容性问题。对于普通用户而言,我们还是将禁用SSL 3.0作为针对此漏洞的缓解措施。在禁用SSL 3.0后当然client不用再操心由于这个漏洞而导致的信息泄露,但假设用户发现某些HTTPS站点无法訪问,那非常可能是由于该站点仅仅支持SSL。详细在Windows或IE中禁用SSL 3.0的方式请大家參考微软的安全通报3009008

    程凌

    微软大中华区安全项目经理

  • 相关阅读:
    jquery中子元素和后代元素的区别
    MVC4 创建控制器时,无法检索元数据
    ref和out的用法说明举例(转)
    DataView的ToTable方法,类似数据库Distinct。
    oracle 19C 静默安装(单机版)
    Supervisord进程管家
    zabbix v3.0安装部署【转】
    Linux下Hadoop2.7.3集群环境的搭建
    Redis集群搭建与简单使用【转】
    redis+keepalived实现高可用
  • 原文地址:https://www.cnblogs.com/gccbuaa/p/6814449.html
Copyright © 2011-2022 走看看