写点什么

微软 Edge 浏览器迎来首个安全更新

  • 2015-09-17
  • 本文字数:1287 字

    阅读完需:约 4 分钟

今年 5 月份,微软公布了专门用于Windows 10 系统的全新Edge 浏览器。该浏览器利用了操作系统的Passport、Smartscreen 以及沙盒等业内领先的技术来提升其安全性。通过这些举措,微软意图用超安全的Edge 浏览器来替代传统的IE 浏览器,提升浏览器的安全特性。然而,Edge 浏览器近日就迎来了首个安全更新

该安全更新包含在等级为严重的安全公告 MS15-095 内。其中包含了 4 个针对 Windows 客户端为严重安全漏洞的 CVE-2015-2485 CVE-2015-2486 CVE-2015-2494 CVE-2015-2542 等内存损坏漏洞。这些漏洞使得用户在使用 Edge 查看经过特殊设计的网页时可能出现允许远程执行代码的情况。 成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。由此,攻击者就可以轻松读取或者修改用户的文件,造成严重影响。

在同时发布的安全更新中, MS15-094 表明了 IE 浏览器也存在相同的漏洞,而且漏洞数量为 12 个。漏洞管理与合规性解决方案 SaaS 服务的提供商 Qualys 的首席技术官 Wolfgang Kandek 指出,这些同样存在的漏洞说明 Edge 浏览器至少使用了部分 IE 浏览器的代码。但是,Edge 浏览器漏洞数量少也表明微软工程师在构建更加安全的浏览器时所付出的努力没有白费。同时,它也说明编写一份没有错误、免于攻击的软件是多么的困难。

因为 Windows 10 还没有广泛用于企业用户,查看 Edge 公告或许不在系统管理员的优先待办事项中。然而,Qualys 的工程经理 Amol Sarwate 表示,系统管理员还是应该关注一下包含 Office 2007 和 2010 中的若干关键性漏洞的 MS15-097 MS15-099 公告。Sarwate 同时表示,已经有了很多利用这些漏洞的攻击。其中的远程代码执行漏洞意味着,用户只需要打开一个内嵌恶意代码的 Excel 或者 Word 文档,这些代码就可以在不知不觉间后台运行,攻击本地计算机。

此外,Sarwate 建议,运行微软 Exchange 和 Active Directory 的企业也应该好好看一下 MS15-096 MS15-103 公告。其中,Exachange 的漏洞使得恶意攻击者可以通过 Outlook Web Access(OWA)客户端来获取用户文件的访问权;Active Directory 的漏洞使得软件更容易受到拒绝服务(DDoS)攻击。对于商业用户而言,Active Directory 是一个非常关键的应用。它会保留所有用户的账号,并且一般不会连接到互联网。但是,管理员仍需安装相应的补丁,以防万一。Sarwate 提出,如果一个黑客进入了企业的内部网络,那么他要做的第一件事或许就是攻击 Active Directory。

总的来说,今年微软已经发布了 105 个安全公告。Qualys 估计,该数字在年底会增加到 145。相比于 2014 年的 106 个和 2011 年的 100 个,今年的安全公告数量明显增加。但是,Kandek 表示,这并不意味这微软的软件变得更加脆弱了。来自第三方研究人员和攻击者所发现的漏洞数量的增长,正好与产品数量、版本数量和平台数量的增长相吻合。Kandek 认为,这正好说明了安全问题正变得多么的重要。


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-09-17 19:001769
用户头像

发布了 268 篇内容, 共 122.6 次阅读, 收获喜欢 24 次。

关注

评论

发布
暂无评论
发现更多内容

html5移动端开发2020,跳槽大厂必看

android 程序员 移动开发

BAT这种大厂履历意味着什么,字节跳动资深面试官亲述

android 程序员 移动开发

flutter下拉刷新背景,学Android看这就完事了

android 程序员 移动开发

深圳企业办理等保业务,应该怎么办理?选择哪款堡垒机好?

行云管家

网络安全 等保 等级保护 等保测评

浅谈工作量证明对于区块链系统的必要性

CECBC

fluttertextfield光标,想跳槽涨薪的必看

android 程序员 移动开发

博文视点“阿里云全系列技术图书”隆重亮相2021云栖大会

博文视点Broadview

flutter跳转原生,零基础也能看得懂

android 程序员 移动开发

flutter中文教程,程序员必看

android 程序员 移动开发

推荐电脑手机都能用的youtube视频下载神器,包括苹果手机也能使用

So...

油管视频下载 youtube

android网络开发技术答案,retrofit原理

android 程序员 移动开发

Android面试题集锦在这里,Android开发面试基础

android 程序员 移动开发

android音视频面试,小程序开发教程

android 程序员 移动开发

另一只眼看软件研发效能提升,软件研发效能的“人性”与“物性”

博文视点Broadview

flutter调试技巧,惊喜

android 程序员 移动开发

QCon 全球软件开发大会 | 大型团队研发效率持续改进实践

万事ONES

研发管理 研发效能 ONES

普通本科毕业一年,刷完这1000道JAVA面试题,成功逆袭上岸

Java 程序员 架构 面试 后端

GTLC 全球技术领导力峰会 | 渐进式的研发管理改进之路

万事ONES

研发管理 研发效能 ONES

android面试题及答案2019,rxjava原理面试

android 程序员 移动开发

flutterpageview嵌套,阿里P8亲自讲解

android 程序员 移动开发

flutter页面跳转数据,直面春招

android 程序员 移动开发

flutter瀑布流组件,腾讯T3面试官透露

android 程序员 移动开发

html5移动开发即学即用网盘,面经解析

android 程序员 移动开发

android音视频何俊林,音视频开发进阶指南

android 程序员 移动开发

android项目开发实战入门百度网盘,【面试总结】

android 程序员 移动开发

flutter教程gitbook,走进Android架构

android 程序员 移动开发

html5移动开发即学即用网盘,差点无缘Offer

android 程序员 移动开发

game+defi系统开发需求(公司)

android算法面试题,附超全教程文档

android 程序员 移动开发

android音频面试题,android组件化开发框架

android 程序员 移动开发

Android高级工程师每日面试题精选,重要概念一网打尽

android 程序员 移动开发

微软Edge浏览器迎来首个安全更新_语言 & 开发_张天雷_InfoQ精选文章