首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2009-05)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布7月份安全公告 修复多个严重安全漏洞

发布日期:2009-07-15


综述:
======
微软发布了7月份的6篇安全公告,这些公告描述并修复了9个安全漏洞,其中6个漏洞
属于“紧急”风险级别。其中包括前段时间被用来进行挂马的2个0day漏洞:
Microsoft DirectShow MPEG2TuneRequest组件溢出漏洞(MS09-032)和Microsoft
DirectX QuickTime媒体文件解析代码执行漏洞(MS09-028)

攻击者利用这些漏洞可能远程入侵并完全控制客户端系统。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,
并按照我们提供的解决方法予以解决。

分析:
======
微软发布了7月份的6篇最新的安全公告:MS09-028到MS08-033。这些安全公告描述了
9个安全问题,分别是有关Windows操作系统、DirectX、Publisher和Virtual PC/Virtual
Server中的漏洞。

1. MS09-028 - Microsoft DirectShow中的漏洞可能导致远程执行代码(971633)

    - 受影响软件和系统:

    DirectX 7.0    
    DirectX 8.1
    DirectX 9.0

    - 漏洞描述:

    Microsoft DirectShow解析QuickTime媒体文件的方式存在多个远程代码执行漏洞。
    如果用户打开了特制的QuickTime文件,这个漏洞可能允许代码执行。如果用户以
    管理权限登录,成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可
    随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
    系统上帐号配置为较少权限的用户比以管理权限操作的用户所受影响要小。

  - 临时解决方案:

    * 在Quartz.dll中禁止解析QuickTime内容。
    * 修改quartz.dll的访问控制列表。
    * 注销quartz.dll。
    * 对于非多媒体文件夹类型,可通过使用Windows经典文件夹来缓解Windows shell
    攻击载体。    
    
    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS09-028.mspx

2. MS09-029 - 嵌入式OpenType字体引擎中的漏洞可能允许远程执行代码(961371)

    - 受影响系统:

    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Service Pack 3
    Windows XP Professional x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition Service Pack 2
    Windows Server 2003 with SP2 for Itanium-based Systems
    Windows Vista、Windows Vista Service Pack 1和Windows Vista Service Pack 2
    Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1和Windows
    Vista x64 Edition Service Pack 2
    Windows Server 2008 for 32-bit Systems和Windows Server 2008 for 32-bit
    Systems Service Pack 2
    Windows Server 2008 for x64-based Systems和Windows Server 2008 for x64-based
    Systems Service Pack 2
    Windows Server 2008 for Itanium-based Systems和Windows Server 2008 for
    Itanium-based Systems Service Pack 2
    
    - 漏洞描述:

    Microsoft Windows的嵌入式OpenType(EOT)字体引擎组件解析特定嵌入式字体
    中数据记录的方式存在堆溢出漏洞,解析特定嵌入式字体中名称表格的方式存在
    整数溢出漏洞。如果用户受骗访问了恶意网站并查看了用特制EOT字体所呈现的内
    容的话,就可以触发上述溢出。成功利用此漏洞的攻击者可以完全控制受影响的
    系统。

    - 临时解决方案:

    * 在Internet Explorer中禁用对解析嵌入式字体的支持。
    * 拒绝对T2EMBED.DLL访问。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS09-029.mspx

3. MS09-030 - Microsoft Office Publisher中的漏洞可能允许远程执行代码(969516)

    - 受影响系统:

    Microsoft Office Publisher 2007 Service Pack 1

    - 漏洞描述:

    Publisher打开、导入和转换Publisher 2007之前版本所创建文件的方式没有正确
    的计算对象处理器数据。攻击者可以通过创建特制的Publisher文件来利用这个漏
    洞,该文件可能包含在邮件附件中或承载在特制的或被入侵的网站上。如果用户
    受骗打开了该文件,就会将无效的值引用为指针,导致执行任意代码。

    - 临时解决方案:

    * 禁用Publisher转换器DLL。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/downloads/details.aspx?familyid=d4b0665d-5744-49c7-a3c0-f231fd08d3b8

4. MS09-031 - Microsoft ISA Server 2006中的漏洞可能导致权限提升(970953)

    - 受影响软件:

    Microsoft Internet Security and Acceleration Server 2006
    Microsoft Internet Security and Acceleration Server 2006可支持性更新
    Microsoft Internet Security and Acceleration Server 2006 Service Pack 1

    - 漏洞描述:

    配置了Radius OTP认证的ISA Server 2006中存在权限提升漏洞,可能允许通过认
    证的用户访问任意Web发布的资源。对于知道管理员账号用户名的攻击者,成功利
    用这个漏洞可以完全控制依赖ISA Server 2006 Web发布规则进行认证的系统。攻
    击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新
    帐户。

    - 临时解决方案:
    
    * 运行以下VB脚本:

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
'
' Copyright (c) Microsoft Corporation. All rights reserved.
' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
' HEREBY PERMITTED.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' This script sets whether ISA will disable Basic authentication fallback when
' ISA Forms-Based authentication with Radius OTP is being used and when the client is not
' known to support Forms-Based authentication.
'
'
' usage - to disable Basic authentication fallback when Radius OTP authentication is being used
' cscript DisableBasicFallbackForOtp.vbs
'
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
Const SE_VPS_NAME = "DisableBasicFallbackForOtp"
Const SE_VPS_VALUE = true

Sub SetValue()

    ' Create the root object.
    Dim root  ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")

    'Declare the other objects needed.
    Dim array       ' An FPCArray object
    Dim VendorSets  ' An FPCVendorParametersSets collection
    Dim VendorSet   ' An FPCVendorParametersSet object

    ' Get references to the array object
    ' and to the network rules collection.
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets

    On Error Resume Next
    Set VendorSet = VendorSets.Item( SE_VPS_GUID )

    If Err.Number <> 0 Then
        Err.Clear

        ' Add the item.
        Set VendorSet = VendorSets.Add( SE_VPS_GUID )
        CheckError
        WScript.Echo "New VendorSet added... " & VendorSet.Name

    Else
        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
    End If

    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then

        Err.Clear
        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE

        If Err.Number <> 0 Then
            CheckError
        Else
            VendorSets.Save false, true
            CheckError

            If Err.Number = 0 Then
                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
            End If
        End If
    Else
        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
    End If

End Sub

Sub CheckError()

    If Err.Number <> 0 Then
        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
        Err.Clear
    End If

End Sub

SetValue
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS09-031.mspx

5. MS09-032 - ActiveX Kill Bit累计安全更新(973346)

    - 受影响软件:

    Windows XP Service Pack 2和Windows XP Service Pack 3
    Windows XP Professional x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition Service Pack 2
    Windows Server 2003 with SP2 for Itanium-based Systems

    - 漏洞描述:
    
    微软系统的DirectShow MPEG2TuneRequest的视频组件(msvidctl.dll)处理文件
    时存在栈漏洞,如果用户访问了恶意网页就可能触发这个漏洞,导致在用户系统
    上执行任意指令,攻击者取得对用户系统的完全控制。
  
    - 临时解决方案:

    * 对CLSID:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF设置Kill Bit,或者将以下
    文本保存为.REG文件并导入:

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
“Compatibility Flags”=dword:00000400

    - 厂商补丁:

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
     http://www.microsoft.com/china/technet/security/bulletin/MS09-032.mspx    

6. MS09-033 - Virtual PC和Virtual Server中的安全漏洞可能允许权限提升(969856)

    - 受影响系统:

    Microsoft Virtual PC 2004 Service Pack 1
    Microsoft Virtual PC 2007
    Microsoft Virtual PC 2007 Service Pack 1
    Microsoft Virtual PC 2007 x64 Edition
    Microsoft Virtual PC 2007 x64 Edition Service Pack 1
    Microsoft Virtual Server 2005 R2 Service Pack 1
    Microsoft Virtual Server 2005 R2 x64 Edition Service Pack 1

    - 漏洞描述:

    Microsoft Virtual PC和Microsoft Virtual Server在执行Virtual Machine Monitor
    中特定指令时验证权限级别的方式存在权限提升漏洞,可能允许攻击者在承载的
    guest操作系统中以提升的权限执行代码。攻击者可随后安装程序;查看、更改或
    删除数据;或者创建拥有完全用户权限的新帐户。

    - 临时解决方案:

    无
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS09-023.mspx

附加信息:
==========
1. http://www.microsoft.com/china/technet/security/bulletin/MS09-028.mspx
2. http://www.microsoft.com/china/technet/security/bulletin/MS09-029.mspx
3. http://www.microsoft.com/china/technet/security/bulletin/MS09-030.mspx
4. http://www.microsoft.com/china/technet/security/bulletin/MS09-031.mspx
5. http://www.microsoft.com/china/technet/security/bulletin/MS09-032.mspx
6. http://www.microsoft.com/china/technet/security/bulletin/MS09-033.mspx
7. http://marc.info/?l=bugtraq&m=124759917822116&w=2
8. http://marc.info/?l=bugtraq&m=124759843520548&w=2
9. http://secunia.com/advisories/35808/
10. http://secunia.com/advisories/35784/
11. http://secunia.com/advisories/35779/
12. http://secunia.com/advisories/35773/
13. http://www.us-cert.gov/cas/techalerts/TA09-187A.html
14. http://www.us-cert.gov/cas/techalerts/TA09-195A.html

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技