微软、Adobe和Mozilla发布关键的安全补丁更新

微软补丁周二发布

公告对关键捆绑包进行了评级：

• MS15-943；Internet Explorer的累积更新修补了22个单独的缺陷，包括14个内存损坏漏洞，以及最关键的一个远程代码执行漏洞。
• MS15-944；它修补了OpenType和TrueType字体呈现代码中的两个漏洞，这两个漏洞可能会在中被利用.NET框架、Lync、Office、Windows和Silverlight。其中最关键的包括远程代码执行。
• MS15-945；它修补了Windows日志程序中的六个缺陷，该程序默认安装在所有受支持的Windows客户端版本中。所有这六个缺陷都允许远程代码执行。

该公告对重要捆绑包进行了评级：

• MS15-946；修复了Office中允许远程代码执行的两个漏洞。
• MS15-947；修补SharePoint中的一个远程代码执行漏洞。
• MS15-948；修补程序中的一对漏洞。NET框架允许拒绝服务（DoS）和提升权限。
• MS15-949；修复了Silverlight中特权漏洞的一个提升。
• MS15-950；修复了Windows服务控制管理器中的一个权限提升漏洞。
• MS15-951；MS15-951；修补Windows内核中允许信息泄露和权限提升的六个漏洞。
• MS15-952；修复了Windows内核中的一个安全绕过漏洞。
• MS15-953；修补VBScript中的两个安全绕过漏洞。
• MS15-954；修复了Microsoft管理控制台中的一个拒绝服务（DoS）错误。
• MS15-955；修补了Schannel中允许信息泄露的一个漏洞。

该公司建议用户和管理员尽快测试并安装更新。2015年5月的周二发布的补丁可能是微软周二发布的最后一个补丁之一。

ADOBE补丁更新

周三，Adobe发布了Adobe Flash Player、Adobe Reader和Acrobat软件的最新安全更新，包括一些关键漏洞的补丁。

Adobe在其Flash Player和AIR软件中修补了至少18个安全漏洞。该公司表示，这些更新适用于Windows、Mac OS X和Linux版本的软件，解决了“可能允许攻击者控制受影响系统的漏洞”。

Flash Player更新地址：

• 许多远程代码执行漏洞
• 四个内存损坏漏洞
• 一个堆溢出漏洞
• 一个整数溢出错误
• 三种类型的混淆缺陷
• 一次使用后释放漏洞
• 在Internet Explorer中绕过受保护模式的检查时间使用时间（TOCTOU）竞争条件
• 验证绕过了可能被利用在用户权限下向文件系统写入任意数据的问题
• 可用于绕过ASLR（地址空间布局随机化）的内存泄漏漏洞
• 一个安全漏洞绕过了可能导致信息泄漏的漏洞

受影响的Flash Player版本：

• Adobe Flash Player 17.0.0.169及更早版本
• Adobe Flash Player版本13.0.0.281及更早版本13.x版本
• Adobe Flash Player版本11.2.202.457及更早版本11.x版本
• AIR Desktop Runtime 17.0.0.144及更早版本
• AIR SDK和SDK；编译器17.0.0.144及更早版本

Adobe Reader和Acrobat更新地址：

• 严重的远程代码执行漏洞
• 释放漏洞后五次使用
• 基于堆的缓冲区溢出漏洞
• 一个缓冲区溢出漏洞
• 十个内存损坏漏洞

受影响的Adobe Reader和Acrobat版本：

• Adobe Reader席（11 .0）和更早的11.x版本
• Reader X（10.1.13）和更早的10.x版本
• 杂技席（11 .0），更早11.x版本
• Acrobat X（10.1.13）和更早的10.x版本

Adobe Acrobat Reader DC在此安全更新中未受影响。

此外，最新的Adobe更新还解决了以下问题：

• 绕过JavaScript API执行限制的各种方法
• 内存泄漏问题
• 可能导致拒绝服务（DoS）攻击的空指针解引用问题
• XML外部实体处理中的信息泄露漏洞，可能导致信息泄露

该公司建议用户在收到提示时接受Windows和Mac OS X版Adobe Flash Player桌面运行时的自动更新，或通过Adobe Flash Player下载中心手动更新。

MOZILLA更新

Mozilla在其Firefox 38中解决了5个严重漏洞、5个高风险漏洞和2个中等级别漏洞。

它解决的一个严重问题在于Firefox 38；验证过程中，JavaScript子集“asm.js”中存在一个越界读写漏洞，利用该漏洞可导致攻击者读取内存中可能包含用户敏感数据的部分。

其中一个关键漏洞是浏览器解析压缩XML时的缓冲区溢出，该漏洞已在最新的Firefox 38更新中修复。

Firefox中最重要的更新是，新版浏览器包含一项功能，允许在Firefox中使用支持DRM（支持数字版权管理）的视频内容。

最新的Firefox浏览器更新还包括与Adobe内容解密模块（CDM）的集成，允许用户在HTML5视频标签中播放DRM包装的内容。

"一年前，我们宣布开始努力在Firefox中实现对一个组件的支持，该组件将允许数字版权管理（DRM）包装的内容在HTML5视频标签中播放。这是个艰难的决定，“该公司在博客中写道。

"正如我们当时所解释的，我们正在使DRM为我们的用户提供他们在浏览器中所需的功能，并允许他们继续访问高级视频内容。我们不认为DRM是一个理想的市场解决方案，但它是目前观看热门内容的唯一方式。"

为了补偿，Mozilla还设计了一个包含CDM的沙箱，限制与系统和浏览器敏感部分的交互。此外，Mozilla开发者还提供了Firefox 38的一个版本，该版本不包括浏览器中的CDM组件。