2013年微软安全漏洞盘点2013年是0-day漏洞的高发期,海量的漏洞被用于APT攻击。 2013年是0-day的高发期,也是安全工程师和黑客之间的博弈最为激烈的一年,微软在这一年推出了很多新的安全机制,黑客们也在尝试很多新颖的攻击思路,下面就来看在2013年对弈双方如何妙招迭出。
正文: 在过去的一年里,Micrsoft修复了大量的漏洞,其中包括操作系统上的漏洞,和一些捆绑软件上的漏洞,比如Office ,IE。在补丁发出之前,这些漏洞被称作0-day 漏洞,他们可以协助攻击者入侵他们的目标。而在这些漏洞中IE浏览器的漏洞,是最被关注的一种。 我们可以说,2013年是0-day漏洞的高发期,海量的漏洞被用于APT攻击。在下面这个表中你可以看到在2013年微软修复的漏洞。
标红的漏洞,是被用于真实入侵的漏洞。 下面是这些漏洞的详细信息。
我们可以看到,攻击者为了绕过ASLR,在一些没有经过ASLR保护的文件中搜寻可以被ROP利用的代码片段(我对溢出不算是很在行 :-(),其中一个例子是,Microsoft Office 2007-2010 库中的没有被ASLR保护的 hxds.dll,这个编号为MS13-106的绕过漏洞 (called Security Feature Bypass),在十二月周二的补丁中被修复。
责编:王雅京  微信扫一扫实时了解行业动态 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|
|
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc