写点什么

微软 Edge 浏览器迎来首个安全更新

  • 2015-09-17
  • 本文字数:1287 字

    阅读完需:约 4 分钟

今年 5 月份,微软公布了专门用于Windows 10 系统的全新Edge 浏览器。该浏览器利用了操作系统的Passport、Smartscreen 以及沙盒等业内领先的技术来提升其安全性。通过这些举措,微软意图用超安全的Edge 浏览器来替代传统的IE 浏览器,提升浏览器的安全特性。然而,Edge 浏览器近日就迎来了首个安全更新

该安全更新包含在等级为严重的安全公告 MS15-095 内。其中包含了 4 个针对 Windows 客户端为严重安全漏洞的 CVE-2015-2485 CVE-2015-2486 CVE-2015-2494 CVE-2015-2542 等内存损坏漏洞。这些漏洞使得用户在使用 Edge 查看经过特殊设计的网页时可能出现允许远程执行代码的情况。 成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。由此,攻击者就可以轻松读取或者修改用户的文件,造成严重影响。

在同时发布的安全更新中, MS15-094 表明了 IE 浏览器也存在相同的漏洞,而且漏洞数量为 12 个。漏洞管理与合规性解决方案 SaaS 服务的提供商 Qualys 的首席技术官 Wolfgang Kandek 指出,这些同样存在的漏洞说明 Edge 浏览器至少使用了部分 IE 浏览器的代码。但是,Edge 浏览器漏洞数量少也表明微软工程师在构建更加安全的浏览器时所付出的努力没有白费。同时,它也说明编写一份没有错误、免于攻击的软件是多么的困难。

因为 Windows 10 还没有广泛用于企业用户,查看 Edge 公告或许不在系统管理员的优先待办事项中。然而,Qualys 的工程经理 Amol Sarwate 表示,系统管理员还是应该关注一下包含 Office 2007 和 2010 中的若干关键性漏洞的 MS15-097 MS15-099 公告。Sarwate 同时表示,已经有了很多利用这些漏洞的攻击。其中的远程代码执行漏洞意味着,用户只需要打开一个内嵌恶意代码的 Excel 或者 Word 文档,这些代码就可以在不知不觉间后台运行,攻击本地计算机。

此外,Sarwate 建议,运行微软 Exchange 和 Active Directory 的企业也应该好好看一下 MS15-096 MS15-103 公告。其中,Exachange 的漏洞使得恶意攻击者可以通过 Outlook Web Access(OWA)客户端来获取用户文件的访问权;Active Directory 的漏洞使得软件更容易受到拒绝服务(DDoS)攻击。对于商业用户而言,Active Directory 是一个非常关键的应用。它会保留所有用户的账号,并且一般不会连接到互联网。但是,管理员仍需安装相应的补丁,以防万一。Sarwate 提出,如果一个黑客进入了企业的内部网络,那么他要做的第一件事或许就是攻击 Active Directory。

总的来说,今年微软已经发布了 105 个安全公告。Qualys 估计,该数字在年底会增加到 145。相比于 2014 年的 106 个和 2011 年的 100 个,今年的安全公告数量明显增加。但是,Kandek 表示,这并不意味这微软的软件变得更加脆弱了。来自第三方研究人员和攻击者所发现的漏洞数量的增长,正好与产品数量、版本数量和平台数量的增长相吻合。Kandek 认为,这正好说明了安全问题正变得多么的重要。


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-09-17 19:001757
用户头像

发布了 268 篇内容, 共 122.2 次阅读, 收获喜欢 24 次。

关注

评论

发布
暂无评论
发现更多内容

头脑风暴:二叉搜索树的最小绝对差

HelloWorld杰少

算法 LeetCode 8月月更

深势科技创始人&首席科学家张林峰:AI+分子模拟,赋能药物发现新源头

阿里云弹性计算

AI gpu 药物研究 分子模拟

🔛报名启动!「数智创新行」系列城市站沙龙首站开启

云桌派

学习 Go 语言数据结构:实现双链表

宇宙之一粟

数据结构 双向链表 8月月更

有人相爱,有人年少财务自由,有人数据结构都背不出来

浅羽技术

Java 数据结构 队列 红黑树 8月月更

[极致用户体验] 如何实现响应式canvas?保持canvas比例?教你让canvas自适应屏幕宽度!

HullQin

CSS JavaScript html 前端 8月月更

nft交易平台开发流程

开源直播系统源码

NFT 数字藏品 数字藏品系统

蓝凌生态OA,重新定义中大型企业数字化办公

科技怪咖

从工程预算到项目管理,『蓝凌低代码』让房企管理更简单

科技怪咖

Nexus 私服Prometheus+Grafana

CTO技术共享

@DataJpaTest 进行测试的坑

HoneyMoose

HMS Core Discovery第17期回顾|音随我动,秒变音色造型师

HarmonyOS SDK

音频技术

阿里云计算巢软件免费试用中心正式上线,企业用户可免费试用1个月

阿里云弹性计算

计算巢

优秀的程序员不能只懂技术

LigaAI

程序人生 敏捷开发 自我提升 职场发展 企业号九月金秋榜

Docker下Prometheus和Grafana三部曲之三:自定义监控项开发和配置

程序员欣宸

Grafana Prometheus 8月月更

再深一点:如何给女朋友解释什么是微服务?

浅羽技术

微服务 微服务架构 单体架构 微服务框架 8月月更

干货|为什么说开源基金会的选择很关键?(上)

Orillusion

开源 WebGL 渲染引擎 webgpu web3d

iofod - 新拟物设计的跨平台实践

iofod jude

软件,英特尔人工智能的未来重点布局

科技之家

ISO文件怎么管?“筷子第一股”双枪科技教你1招!

科技怪咖

Docker 端口映射重大安全漏洞

CTO技术共享

Spring Data 测试时的 Repository 提示为空对象

HoneyMoose

FFmpeg打开输入文件

mei2022

8月月更

项目经理的职能在Scrum框架下没有完全消失

ShineScrum捷行

Scrum 敏捷 项目经理

最长字符串链,什么是“词链”?

掘金安东尼

算法 前端 8月月更

蓝凌“智慧云脑”,助力水务、燃气等集团服务民生

科技怪咖

Zabbix 监控系统保姆及教程

CTO技术共享

微服务面试必问的Dubbo,这么详细还怕自己找不到工作?

浅羽技术

微服务 dubbo 微服务框架 Dubbo服务 8月月更

云原生(二十六) | Kubernetes篇之Kubernetes(k8s)持久化

Lansonli

云原生 k8s 8月月更

SpringBoot 打包发布

jar Linux SpringBoot 2 8月月更

超简单!Redis中的持久化策略汇总

知识浅谈

8月月更

微软Edge浏览器迎来首个安全更新_语言 & 开发_张天雷_InfoQ精选文章