首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2009-06)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布ATL漏洞相关紧急安全公告

发布日期:2009-07-29


综述:
======
微软除了在之前发布了7月份的例行安全公告外,在今日又发布了Windows系统ATL相关的周期外紧急安全公告,公告编号为 MS09-034 和 MS09-035 。MS09-034 公告提供了ATL相关漏洞通过IE利用时的防护补丁方案并修补了另外3个IE本身的安全漏洞。MS09-035 公告针对导致ATL相关漏洞的Visual Studio开发工具,提供了Visual Studio工具对应的补丁,进行COM控件开发的开发者需要使用修补后的Visual Studio工具重新编译自己的COM组件(主要是ActiveX),使得到的最终COM组件不存在ATL相关漏洞。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,安装微软提供的安全补丁或按照我们提供的建议进行处理。

分析:
======
Active Template Library (ATL)是一个基于C++的类库,开发者可以用此程序库创建小巧、快速的COM组件,通常的通过IE可访问ActiveX控件就是一类典型的COM组件。ATL库一般随同微软的Visual Studio工具一起发布,开发者在开发COM组件时很可能使用了其中ATL库。

微软实现的ATL库存在一些问题,可能导致采用此ATL库开发出来的COM组件存在安全漏洞,而这些COM组件可能通过IE被攻击者远程直接或间接地调用访问,从而造成远程攻击。为了解决这些问题,微软分别对最终用户和开发者发布了MS09-034和MS09-035安全公告,提供对最终用户的保护并使开发者消除所开发的COM组件中可能存在的安全缺陷。

MS09-035
--------

目前ATL库已经被发现存在一些安全漏洞,导致使用了ATL库进行COM组件开发所生成的控件可能存在以下3种漏洞,MS09-035针对这几个漏洞做了修补:

1. CVE-2009-0901 - ATL未初始化对象漏洞

    - 受影响软件和系统:

    Visual Studio 2002 SP1    
    Visual Studio 2003 SP1
    Visual Studio 2005 SP1
    Visual Studio 2008 RTM
    
    - 不受影响软件和系统:
    
    Visual Studio 2008 SP1
    Visual Studio 2010 Beta

    - 漏洞描述:

    ATL库的特定方法可能在特定情况下操作未初始化的对象,导致执行任意指令。

2. CVE-2009-2493

    - 受影响软件和系统:

    Visual Studio 2002 SP1    
    Visual Studio 2003 SP1
    Visual Studio 2005 SP1
    Visual Studio 2008 RTM
    Visual Studio 2008 SP1
    
    - 不受影响软件和系统:
    
    Visual Studio 2010 Beta

    - 漏洞描述:
    
    ATL库在从数据流中初始化对象时存在漏洞,可能导致绕过Kill Bit安全检查。

3. CVE-2009-2495

    - 受影响软件和系统:

    Visual Studio 2002 SP1    
    Visual Studio 2003 SP1
    Visual Studio 2005 SP1
    Visual Studio 2008 RTM
    Visual Studio 2008 SP1
    
    - 不受影响软件和系统:
    
    Visual Studio 2010 Beta

    - 漏洞描述:
    
    ATL库引用字符串处理存在漏洞,可能导致内存信息泄露。

微软已经提供了安全补丁以修复这些安全漏洞,我们建议您使用Windows系统自带的"Windows update"功能下载最新补丁。

您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx

MS09-035包含的补丁是针对开发者的,开发者在更新Visual Studio工具后需要重新编译自己开发的ActiveX控件并发布,消除由于开发工具使用了有漏洞的ATL库而导致的安全风险。

MS09-034
--------

针对可能存在ATL相关漏洞的COM组件导致的对IE用户的威胁,微软发布了MS09-034公告,通过修改IE内部处理机制的方法尽量减小由于存在漏洞的COM组件导致的风险。MS09-034还包含了对如下3个非ATL相关的IE漏洞的修补:

1. CVE-2009-1917 - 内存破坏漏洞

    - 受影响软件和系统:

    Internet Explorer 5.01 和 Internet Explorer 6 Service Pack 1
    Internet Explorer 6
    Internet Explorer 7
    Internet Explorer 8
    
    - 不受影响软件和系统:
    
    - 漏洞描述:

    恶意脚本构造的代码导致对象引用删除以后重引用,可能导致内存破坏或指令执行。

2. CVE-2009-1918 - HTML对象内存破坏漏洞

    - 受影响软件和系统:

    Internet Explorer 5.01 和 Internet Explorer 6 Service Pack 1  
    Internet Explorer 6
    Internet Explorer 7
    Internet Explorer 8
    
    - 不受影响软件和系统:
    
    - 漏洞描述:

    恶意脚本代码构造的特定畸形表格元素操作导致内存破坏或指令执行。

3. CVE-2009-1919 - 未初始化内存破坏漏洞

    - 受影响软件和系统:

    Internet Explorer 5.01 和 Internet Explorer 6 Service Pack 1  
    Internet Explorer 6
    Internet Explorer 7
    Internet Explorer 8
    
    - 不受影响软件和系统:
    
    - 漏洞描述:

    恶意脚本代码构造的CSS对象处理导致引用已删除的对象,最终导致内存破坏或指令执行。

临时解决方法:

* 在Internet Explorer中把Internet域的安全级别设置到“高”
  
   1. 在Internet Explorer中,从“工具”菜单选择“Internet选项”
   2. 在对话框中点击“安全”标签,然后点击“Internet”图标
   3. 在“该区域安全级别”栏中把滑块拖到“高”,点击“确定”

微软已经提供了安全补丁以修复这些安全漏洞,我们建议您使用Windows系统自带的"Windows update"功能下载最新补丁。

您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx

附加信息:
==========
1. http://www.microsoft.com/technet/security/bulletin/ms09-034.mspx
2. http://www.microsoft.com/technet/security/bulletin/ms09-035.mspx
3. http://blogs.technet.com/srd/archive/2009/07/28/overview-of-the-out-of-band-release.aspx
4. http://blogs.technet.com/msrc/archive/2009/07/28/microsoft-security-advisory-973882-microsoft-security-bulletins-ms09-034-and-ms09-035-released.aspx

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技