Microsoft OLE远程代码执行漏洞（CVE-2014-6352）

Microsoft OLE远程代码执行漏洞（CVE-2014-6352）

发布日期：2014-10-21
更新日期：2014-10-24

受影响系统：
Microsoft Windows Vista
 Microsoft Windows Server 2012
 Microsoft Windows Server 2008
 Microsoft Windows RT
 Microsoft Windows 8.1
 Microsoft Windows 8
 Microsoft Windows 7
描述：
BUGTRAQ  ID: 70690
 CVE(CAN) ID: CVE-2014-6352

 OLE（对象链接与嵌入）是一种允许应用程序共享数据和功能的技术。UAC(User Account Control，用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术。

Microsoft Windows在OLE组件的实现上存在安全漏洞，未经身份验证的远程攻击者可利用此漏洞执行远程代码。此漏洞源于没有正确处理含有OLE对象的Office文件。

<*来源：Microsoft
        Drew Hintz
        Shane Huntley
        Matty Pellegrino
        Haifei Li
        Bing Sun
 
  链接：https://technet.microsoft.com/library/security/3010060
 *>

建议：
临时解决方法：

 如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

*应用Microsoft Fix it解决方案，"OLE packager Shim Workaround"，防止利用此漏洞。
*不要打开可疑源的Microsoft PowerPoint文件或其他文件。
*启用UAC。
*部署Enhanced Mitigation Experience Toolkit 5.0，并配置Attack Surface Reduction。

 厂商补丁：

Microsoft
 ---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://technet.microsoft.com/security/bulletin/

本文永久更新链接地址：