漏洞信息详情

Microsoft Windows OLE 远程执行代码漏洞

• CNNVD编号：CNNVD-201410-268
• 危害等级： 超危
  
• CVE编号： CVE-2014-4114
• 漏洞类型： 输入验证
• 发布时间： 2014-10-15
• 威胁类型： 远程
• 更新时间： 2014-10-17
• 厂        商： microsoft
• 漏洞来源： iSIGHT Partners

漏洞简介

Microsoft Windows OLE（对象链接与嵌入）是美国微软（Microsoft）公司的一种允许应用程序共享数据和功能的技术。

Microsoft Windows OLE中存在一个漏洞，如果用户打开包含特制OLE对象的文件，则该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。如果当前用户使用管理用户权限登录，则攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少用户权限的用户比具有管理用户权限的用户受到的影响要小。以下软件受到影响：Windows Vista SP2，Windows Server 2008 SP2，Windows 7 SP1，Windows Server 2008 R2 SP1，Windows 8，Windows 8.1，Windows Server 2012，Windows Server 2012 R2，Windows RT 和 Windows RT 8.1。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://technet.microsoft.com/security/bulletin/MS14-060

参考网址

来源:blogs.technet.com

链接:http://blogs.technet.com/b/srd/archive/2014/10/14/accessing-risk-for-the-october-2014-security-updates.aspx

来源:MS

链接:http://technet.microsoft.com/security/bulletin/MS14-060

来源:www.isightpartners.com

链接:http://www.isightpartners.com/2014/10/cve-2014-4114/

来源: BID

链接:http://www.securityfocus.com/bid/70419

受影响实体

• Microsoft Windows_rt:-:Gold  
• Microsoft Windows_rt_8.1:-  
• Microsoft Windows_server_2012:R2  
• Microsoft Windows_server_2012:-:Gold  
• Microsoft Windows_8:-  

补丁

• Security Update for Windows Server 2008 for Itanium-based Systems (KB3000869)
• Windows 8 安全更新程序 (KB3000869)
• 用于基于 x64 的系统的 Windows Vista 安全更新程序 (KB3000869)
• Security Update for Windows Server 2008 R2 for Itanium-based Systems (KB3000869)
• 用于基于 x64 的系统的 Windows 8.1 安全更新程序 (KB3000869)