漏洞描述

CVE编号

漏洞名称

漏洞描述

CVE-2015-1630

Microsoft Exchange Server Audit Report跨站脚本执行漏洞

Microsoft Exchange Server没有正确过滤Outlook Web App内的页面内容，存在权限提升安全漏洞，通过修改Outlook Web App内的某些属性，然后诱使用户浏览目标Outlook Web App站点，攻击者可利用这些漏洞在当前用户上下文中运行脚本。

CVE-2015-1631

Microsoft Exchange Server伪造会议请求欺骗漏洞

当Exchange接受或修改会议请求时没有正确验证会议组织者标识，Exchange Server存在欺骗漏洞。成功利用后可利用合法组织者的身份修改或制定会议。

CVE-2015-1632

Microsoft Exchange Server 跨站脚本漏洞

漏洞是Microsoft Exchange Server2013 SP1和累积更新7中允许远程攻击者通过msgParam参数在authError中注入任意web脚本或HTML。

CVE-2015-1633

Microsoft SharePoint跨站脚本漏洞

Microsoft SharePoint Server不正确处理用户提交的输入，允许攻击者利用漏洞进行跨站脚本攻击，远程攻击者可以利用漏洞构建恶意URI，诱使用户解析，可获得敏感Cookie，劫持会话或在客户端上进行恶意操作。

CVE-2015-1634

Microsoft Internet Explorer远程内存破坏漏洞

Internet Explorer 没有正确访问内存对象，在实现上存在远程代码执行漏洞，成功利用后可破坏内存，在当前用户权限下执行任意代码。

CVE-2015-1635

Microsoft Windows HTTP.sys远程代码执行漏洞

HTTP.sys会错误解析某些特殊构造的HTTP请求，导致远程代码执行漏洞。成功利用此漏洞后，攻击者可在System帐户上下文中执行任意代码。
由于此漏洞存在于内核驱动程序中，攻击者也可以远程导致操作系统蓝屏。远程攻击者可以通过IIS 7（或更高版本）服务将恶意的HTTP请求传递给HTTP.sys驱动。

CVE-2015-1636

Microsoft SharePoint XSS漏洞

当SharePointServer没有正确过滤发送到受影响SharePoint服务器的请求时，存在权限提升漏洞。可使攻击者在受影响系统上执行跨站脚本攻击，运行脚本。

CVE-2015-1637

Microsoft SharePoint XSS漏洞

当SharePointServer没有正确过滤发送到受影响SharePoint服务器的请求时，存在权限提升漏洞。可使攻击者在受影响系统上执行跨站脚本攻击，运行脚本。

CVE-2015-0097

Microsoft Word远程代码执行漏洞

Office解析构造的Office文件时存在Local Zone相关错误，通过构造Office文件，攻击者利用此漏洞可执行任意代码，破坏内存。

CVE-2015-0096

Microsoft DLL植入远程代码执行漏洞

Microsoft Windows没有正确处理DLL文件的加载，存在远程代码执行漏洞，通过诱使用户打开远程WebDAV或SMB共享上的某些文件利用此漏洞，成功利用后可导致加载任意库。

CVE-2015-0094

Microsoft Windows 内核内存泄漏漏洞

Windows内核模式驱动程序存在信息泄露漏洞，可导致泄露内核内存给攻击者。Windows内核模式驱动程序函数调用期间泄漏私有地址信息会触发此漏洞。

CVE-2015-0093

Microsoft Windows Adobe Font Driver远程执行代码漏洞

Adobe Font Driver存在安全漏洞，用户浏览构造的文件或网站后，可导致在内核模式运行任意代码。此漏洞源于Adobe Font Driver没有正确覆盖内存对象。

CVE-2015-0091

Microsoft Windows Adobe Font Driver远程执行代码漏洞

Adobe Font Driver存在安全漏洞，用户浏览构造的文件或网站后，可导致在内核模式运行任意代码。此漏洞源于Adobe Font Driver没有正确覆盖内存对象。

CVE-2015-0090

Microsoft Windows Adobe Font Driver远程执行代码漏洞

Adobe Font Driver存在安全漏洞，用户浏览构造的文件或网站后，可导致在内核模式运行任意代码。此漏洞源于Adobe Font Driver没有正确覆盖内存对象。

CVE-2015-0314

Adobe Flash Player 未明释放后使用漏洞

Adobe Flash Player存在一个未明释放后使用漏洞，允许攻击者构建恶意SWF文件，诱使用户解析，可以应用程序上下文执行任意代码。目前已经在网络上积极利用。

CVE-2015-0310

Adobe Flash Player内存破坏漏洞

Adobe Flash Player 16.0.0.257及其他版本在实现上存在内存破坏漏洞，攻击者可利用此漏洞攻击旧版本的Flash Player，在Windows系统上绕过内存随机化措施，在受影响应用上下文中执行任意代码。

CVE-2015-0311

Adobe Flash Player拒绝服务漏洞

Adobe Flash Player 13.0.0.262之前版本、14.x、15.x、16.0.0.287(Windows及OS X)，11.2.202.438之前版本(Linux)在实现上存在安全漏洞，攻击者通过经下载驱动攻击模式，利用此漏洞造成崩溃，控制受影响系统。

CVE-2015-0099

Microsoft Internet Explorer远程内存破坏漏洞

Internet Explorer 没有正确访问内存对象，在实现上存在远程代码执行漏洞，成功利用后可破坏内存，在当前用户权限下执行任意代码。

CVE-2015-0098

Adobe Flash Player and AIR未明堆缓冲区溢出漏洞

Adobe Flash Player/AIR存在一个堆的缓冲区溢出漏洞，允许攻击者构建恶意SWF文件，诱使用户解析，可以应用程序上下文执行任意代码。

CVE-2015-0017

Microsoft Internet Explorer远程内存破坏漏洞

Microsoft Internet Explorer 6-11版本存在远程内存破坏漏洞，远程攻击者通过构造的网站，利用此漏洞可执行任意代码或造成拒绝服务。

CVE-2015-0016

Microsoft Windows TS WebProxy Windows远程权限提升漏洞

TS WebProxy Windows组件中存在一个特权提升漏洞。当Windows 无法正确过滤文件路径时，会导致该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

CVE-2015-0015

Microsoft Windows Network Policy Server远程拒绝服务漏洞

Microsoft Windows在RADIUS的实现上存在拒绝服务漏洞，恶意用户通过发送精心构造的用户名，阻止RADIUS身份验证，利用此漏洞可造成拒绝服务。此漏洞源于Internet 验证服务(IAS) 或网络策略服务器(NPS)上RADIUS身份验证错误。

CVE-2015-0014

Microsoft Windows Telnet服务缓冲区溢出漏洞

Windows Telnet 服务中存在缓冲区溢出漏洞，可能允许远程执行代码。当Telnet 服务未正确验证用户输入时，会导致该漏洞。攻击者通过将经过特殊设计的telnet 数据包发送到Windows Server 来利用此漏洞，如果成功的话，便可以在服务器上运行任意代码。

CVE-2015-0011

Microsoft Windows Kernel 'mrxdav.sys'本地权限提升漏洞

Microsoft Windows在WebDAV kernel-mode driver (mrxdav.sys)的实现上存在权限提升安全漏洞，可导致绕过模拟级别安全限制，获取提升的权限。此漏洞源于WebDAV内核模式驱动程序(mrxdav.sys) 不能正确地验证和实施模拟级别。成功利用此漏洞的攻击者会绕过模拟级别安全限制，并获得目标系统的提升权限，这可使其拦截对任何服务器（包括企业SharePoint 站点）文件的WebDAV 请求，并将这些请求重定向为返回攻击者的恶意文件。

CVE-2015-0010

Microsoft Internet Explorer远程内存破坏漏洞

Internet Explorer 没有正确访问内存对象，在实现上存在远程代码执行漏洞，成功利用后可破坏内存，在当前用户权限下执行任意代码。

CVE-2015-0089

Microsoft Windows Adobe Font Driver信息泄露漏洞

读取或显示某些字体时，Adobe 字体驱动中存在拒绝服务漏洞。可导致泄露系统信息。

CVE-2015-1649

Microsoft Office组件释放后重利用漏洞

Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。

在解析构造的Office文件时，Office没有正确处理内存对象，这可使攻击者执行任意代码，破坏内存。

CVE-2015-1648

Microsoft ASP.NET信息泄露漏洞

ASP.NET是.NET FrameWork的一部分，是一项微软公司的技术，是一种使嵌入网页中的脚本可由因特网服务器执行的服务器端脚本技术，它可以在通过HTTP请求文档时再在Web服务器上动态创建它们。
在禁用了customErrors 配置的系统上，ASP.NET处理某些构造的请求时出错，在实现上存在信息泄露漏洞。攻击者利用此漏洞可获取Web配置文件的部分内容。

CVE-2015-0080

Microsoft Windows畸形PNG解析信息泄露漏洞

Windows解析某些构造的PNG图形格式文件时，未初始化内存处理失败，存在信息泄露漏洞，攻击者若诱使用户浏览包含PNG图形的网站，利用此漏洞即可获取敏感信息。