国家计算机网络入侵防范中心安全漏洞周报：2016年1月11日至2016年1月18日，安全漏洞105个，其中高危漏洞36个，中等威胁漏57个，低威胁漏洞12个，安全漏洞总量是上周的1.00 倍。

微软公司发布的17项安全更新，共修复33个漏洞，7个安全公告等级为“严重”，其余为“重要”。1项安全公告针对Microsoft_Office的漏洞，涉及5个CVE编号漏洞，1项安全公告针对Microsoft_Server_软件的漏洞，涉及4个CVE编号漏洞，14项安全公告针对Microsoft_Windows的漏洞，涉及23个CVE编号漏洞，1项安全公告针对Internet_Explorer的漏洞，涉及2个CVE编号漏洞，1项安全公告针对Microsoft_Silverlight的漏洞，涉及1个CVE编号漏洞，此次微软安全公告包括了缓冲区溢出、任意代码执行等漏洞。此次微软发布的安全更新中为严重等级的公告如下，[*]MS15-001 Windows应用程序兼容性缓存中的漏洞可能允许特权提升(3023266)此安全更新可解决Microsoft Windows中一个公开披露的漏洞。此漏洞在攻击者登录系统并运行经特殊设计的应用程序时允许提升特权。成功利用此漏洞后，经过身份验证的攻击者能够绕过在Microsoft Windows应用程序兼容性组件的缓存修改期间执行的现有的权限检查，并使用提升的特权执行任意代码。[*]MS15-004 Window组件中的漏洞可能允许特权提升(3025421)此安全更新可解决Microsoft Windows中一个私下报告的漏洞。如果攻击者诱使用户运行经特殊设计的应用程序，则该漏洞可能允许特权提升。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录，则攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少用户权限的用户比具有管理用户权限的用户受到的影响要小。[*]MS15-002 Windows Telnet服务中的漏洞可能允许远程执行代码(3020393)此安全更新可解决Microsoft Windows中一个私下报告的漏洞。如果攻击者向受影响的Windows Server发送特殊设计的数据包，此漏洞可能允许远程执行代码。默认情况下，Telnet不会安装在任何受影响的操作系统版本上。仅手动安装此服务的客户可能容易受到攻击。[*]MS15-005网络位置感知服务中的漏洞可能允许安全功能规避(3022777)此安全更新可解决Microsoft Windows中一个私下报告的漏洞。当与受害者位于同一网络中的攻击者欺骗由受害者发起的对DNS和LDAP流量的响应时，该漏洞可能通过无意中放松的防火墙策略和/或某些服务的配置允许安全功能规避。[*]MS15-006 Windows错误报告中的漏洞可能允许安全功能规避(3004365)此安全更新可解决Windows错误报告(WER)中一个私下报告的漏洞。如果被攻击者成功利用，该漏洞可能允许安全功能规避。成功利用此漏洞的攻击者可能会获取对运行中进程内存的访问权限。在系统上配置为具有较少用户权限的用户帐户比具有管理员权限的用户帐户所受影响要小。[*]MS15-003 Windows User Profile Service中的漏洞可能允许特权提升(3021674)此安全更新可解决Microsoft Windows 中一个公开披露的漏洞。如果攻击者登录系统并运行经特殊设计的应用程序，则该漏洞可能允许提升特权。成功利用此漏洞的本地攻击者能够使用提升的特权在目标系统上运行任意代码。攻击者必须拥有有效的登录凭据，并能够本地登录才能利用此漏洞。[*]MS15-007在网络策略服务器RADIUS实施中的漏洞可能导致拒绝服务(3014029)此安全更新可解决Microsoft Windows中一个私下报告的漏洞。如果攻击者将经特殊设计的用户名字符串发送到IAS或NPS，则该漏洞可能允许拒绝Internet验证服务(IAS)或网络策略服务器(NPS)上的服务。请注意，虽然攻击者无法通过拒绝服务漏洞来执行代码或提升用户权限；但此漏洞可以阻止对IAS或NPS的RADIUS认证。

针对高危漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护，及时关注并下载更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。