写点什么

微软 Edge 浏览器迎来首个安全更新

  • 2015-09-17
  • 本文字数:1287 字

    阅读完需:约 4 分钟

今年 5 月份,微软公布了专门用于Windows 10 系统的全新Edge 浏览器。该浏览器利用了操作系统的Passport、Smartscreen 以及沙盒等业内领先的技术来提升其安全性。通过这些举措,微软意图用超安全的Edge 浏览器来替代传统的IE 浏览器,提升浏览器的安全特性。然而,Edge 浏览器近日就迎来了首个安全更新

该安全更新包含在等级为严重的安全公告 MS15-095 内。其中包含了 4 个针对 Windows 客户端为严重安全漏洞的 CVE-2015-2485 CVE-2015-2486 CVE-2015-2494 CVE-2015-2542 等内存损坏漏洞。这些漏洞使得用户在使用 Edge 查看经过特殊设计的网页时可能出现允许远程执行代码的情况。 成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。由此,攻击者就可以轻松读取或者修改用户的文件,造成严重影响。

在同时发布的安全更新中, MS15-094 表明了 IE 浏览器也存在相同的漏洞,而且漏洞数量为 12 个。漏洞管理与合规性解决方案 SaaS 服务的提供商 Qualys 的首席技术官 Wolfgang Kandek 指出,这些同样存在的漏洞说明 Edge 浏览器至少使用了部分 IE 浏览器的代码。但是,Edge 浏览器漏洞数量少也表明微软工程师在构建更加安全的浏览器时所付出的努力没有白费。同时,它也说明编写一份没有错误、免于攻击的软件是多么的困难。

因为 Windows 10 还没有广泛用于企业用户,查看 Edge 公告或许不在系统管理员的优先待办事项中。然而,Qualys 的工程经理 Amol Sarwate 表示,系统管理员还是应该关注一下包含 Office 2007 和 2010 中的若干关键性漏洞的 MS15-097 MS15-099 公告。Sarwate 同时表示,已经有了很多利用这些漏洞的攻击。其中的远程代码执行漏洞意味着,用户只需要打开一个内嵌恶意代码的 Excel 或者 Word 文档,这些代码就可以在不知不觉间后台运行,攻击本地计算机。

此外,Sarwate 建议,运行微软 Exchange 和 Active Directory 的企业也应该好好看一下 MS15-096 MS15-103 公告。其中,Exachange 的漏洞使得恶意攻击者可以通过 Outlook Web Access(OWA)客户端来获取用户文件的访问权;Active Directory 的漏洞使得软件更容易受到拒绝服务(DDoS)攻击。对于商业用户而言,Active Directory 是一个非常关键的应用。它会保留所有用户的账号,并且一般不会连接到互联网。但是,管理员仍需安装相应的补丁,以防万一。Sarwate 提出,如果一个黑客进入了企业的内部网络,那么他要做的第一件事或许就是攻击 Active Directory。

总的来说,今年微软已经发布了 105 个安全公告。Qualys 估计,该数字在年底会增加到 145。相比于 2014 年的 106 个和 2011 年的 100 个,今年的安全公告数量明显增加。但是,Kandek 表示,这并不意味这微软的软件变得更加脆弱了。来自第三方研究人员和攻击者所发现的漏洞数量的增长,正好与产品数量、版本数量和平台数量的增长相吻合。Kandek 认为,这正好说明了安全问题正变得多么的重要。


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-09-17 19:001748
用户头像

发布了 268 篇内容, 共 121.7 次阅读, 收获喜欢 24 次。

关注

评论

发布
暂无评论
发现更多内容

软件测试/测试开发丨利用ChatGPT 生成自动化测试脚本

测试人

软件测试

喜讯!INFINI Easysearch 在墨天轮数据库排名中挺进前30!

极限实验室

数据库 easysearch 极限科技 数据库排名 搜索型数据库

项目管理必备神器!10款好用的在线看板工具推荐。

彭宏豪95

项目管理 效率工具 软件推荐 在线白板 看板工具

使用稳定扩散和SAM修改图像内容

3D建模设计

AI纹理 稳定扩散

网站加速神器:国外服务器让你的网页飞起来

一只扑棱蛾子

国外服务器

nebula-br local-store 模式,快速搭建主备集群实践

NebulaGraph

容灾备份

获评AI基础软件「领导者」,九章云极DataCanvas公司技术创新能力最强!

九章云极DataCanvas

广汽传祺E9上市,3DCAT实时云渲染助力线上3D高清看车体验

3DCAT实时渲染

云渲染 实时云渲染 汽车三维可视化

使用虚拟合成数据训练对象检测模型

3D建模设计

人工智能 机器学习 合成数据

15种稳定扩散模型的技术示例

3D建模设计

Stable Diffusion 稳定扩散 自动纹理工具

低代码助力破解IT开发失败的概率

互联网工科生

软件开发 低代码 IT开发

揭秘!自动化测试效率提升30%如何达成

HarmonyOS开发者

一图看懂CodeArts Release三大特性

华为云开发者联盟

云计算 后端 华为云 华为云开发者联盟 华为云CodeArts

云图说|新一代Serverless应用托管引擎——CAE

华为云开发者联盟

云计算 后端 华为云 华为云开发者联盟 华为云Serverless

3分钟教你linux服务器无损迁移备份Jenkins

javaNice

Java Java’

理论+应用,带你了解数据库资源池

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 数据池

英特尔与阿里巴巴深化合作,以软硬件创新全方位加速“芯经济”发展

E科讯

StoneDB-8.0-V2.1.0 企业版正式发布!免费公测活动正在进行中,快来参加!

StoneDB

MySQL 数据库 HTAP StoneDB

亚信科技斩获“鼎新杯”多项大奖!AntDB数据库在信创赛道再创佳绩

亚信AntDB数据库

AntDB数据库

【宝藏工具】开源组件信息一键查询,快速获取组件来源、版本、漏洞补丁、推荐版本!

网安云

Tower for mac(Git客户端软件) v10.1.1完整激活版

mac

Tower 苹果mac Windows软件 Git客户端软件

一文看懂MySQL 5.7和MySQL 8到底有哪些差异?

树上有只程序猿

MySQL MySQL 5.7 MySQL 8.0

企业服务诞生了第一座企业掘金的数据枢纽——瓴羊港

ToB行业头条

新一代云原生可观测平台之CCE服务监控篇

华为云开发者联盟

云原生 后端 华为云 华为云开发者联盟 华为云CCE容器服

能力惊艳!DingoDB多模向量数据库完成首批向量数据库产品测试

九章云极DataCanvas

如何使用Java调用商品详情API

Noah

微软曝光!ChatGPT 真实参数只有 200 亿?大模型评测基准已经失去意义?丨 RTE 开发者日报 Vol.76

声网

AutoCAD 2023 for Mac(cad2023) v2023.2.1注册激活版

mac

苹果mac Windows软件 AutoCAD 2023 三维设计软件 cad2023

微软Edge浏览器迎来首个安全更新_语言 & 开发_张天雷_InfoQ精选文章