今年 5 月份,微软公布了专门用于Windows 10 系统的全新Edge 浏览器。该浏览器利用了操作系统的Passport、Smartscreen 以及沙盒等业内领先的技术来提升其安全性。通过这些举措,微软意图用超安全的Edge 浏览器来替代传统的IE 浏览器,提升浏览器的安全特性。然而,Edge 浏览器近日就迎来了首个安全更新。
该安全更新包含在等级为严重的安全公告 MS15-095 内。其中包含了 4 个针对 Windows 客户端为严重安全漏洞的 CVE-2015-2485 、 CVE-2015-2486 、 CVE-2015-2494 和 CVE-2015-2542 等内存损坏漏洞。这些漏洞使得用户在使用 Edge 查看经过特殊设计的网页时可能出现允许远程执行代码的情况。 成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。由此,攻击者就可以轻松读取或者修改用户的文件,造成严重影响。
在同时发布的安全更新中, MS15-094 表明了 IE 浏览器也存在相同的漏洞,而且漏洞数量为 12 个。漏洞管理与合规性解决方案 SaaS 服务的提供商 Qualys 的首席技术官 Wolfgang Kandek 指出,这些同样存在的漏洞说明 Edge 浏览器至少使用了部分 IE 浏览器的代码。但是,Edge 浏览器漏洞数量少也表明微软工程师在构建更加安全的浏览器时所付出的努力没有白费。同时,它也说明编写一份没有错误、免于攻击的软件是多么的困难。
因为 Windows 10 还没有广泛用于企业用户,查看 Edge 公告或许不在系统管理员的优先待办事项中。然而,Qualys 的工程经理 Amol Sarwate 表示,系统管理员还是应该关注一下包含 Office 2007 和 2010 中的若干关键性漏洞的 MS15-097 和 MS15-099 公告。Sarwate 同时表示,已经有了很多利用这些漏洞的攻击。其中的远程代码执行漏洞意味着,用户只需要打开一个内嵌恶意代码的 Excel 或者 Word 文档,这些代码就可以在不知不觉间后台运行,攻击本地计算机。
此外,Sarwate 建议,运行微软 Exchange 和 Active Directory 的企业也应该好好看一下 MS15-096 和 MS15-103 公告。其中,Exachange 的漏洞使得恶意攻击者可以通过 Outlook Web Access(OWA)客户端来获取用户文件的访问权;Active Directory 的漏洞使得软件更容易受到拒绝服务(DDoS)攻击。对于商业用户而言,Active Directory 是一个非常关键的应用。它会保留所有用户的账号,并且一般不会连接到互联网。但是,管理员仍需安装相应的补丁,以防万一。Sarwate 提出,如果一个黑客进入了企业的内部网络,那么他要做的第一件事或许就是攻击 Active Directory。
总的来说,今年微软已经发布了 105 个安全公告。Qualys 估计,该数字在年底会增加到 145。相比于 2014 年的 106 个和 2011 年的 100 个,今年的安全公告数量明显增加。但是,Kandek 表示,这并不意味这微软的软件变得更加脆弱了。来自第三方研究人员和攻击者所发现的漏洞数量的增长,正好与产品数量、版本数量和平台数量的增长相吻合。Kandek 认为,这正好说明了安全问题正变得多么的重要。
感谢魏星对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ , @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。
评论