首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2011-01)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布4月份安全公告 修复64个严重安全漏洞

发布日期:2011-04-13


综述:
======
微软发布了4月份的17篇安全公告,这些公告描述并修复了64个安全漏洞,其中16个漏
洞属于“紧急”风险级别。攻击者利用这些漏洞可能远程入侵并导致远程代码执行、权限
提升和信息泄露。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,
并按照我们提供的解决方法予以解决。

分析:
======
微软发布了4月份的17篇最新的安全公告:MS11-018到MS11-034。这些安全公告描述了
64个安全问题,分别是有关Windows操作系统、SMB客户端和服务器、GDI+、DNS解析、
JScript和VBScript脚本引擎、OpenType CFF驱动程序、MFC库、MHTML、Office套件、
Internet Explorer、.NET中的漏洞。

1. MS11-018 - Internet Explorer累计安全更新(2497640)

    - 漏洞描述:

    此安全更新可解决IE中四个秘密发布的漏洞和一个公开发布的漏洞。对于Windows
    客户端上的Internet Explorer 6, Internet Explorer 7和Internet Explorer 8,
    此安全更新的等级为“紧急”。对于Windows服务器上的Internet Explorer 6,
    Internet Explorer 7和Internet Explorer 8,此安全更新的等级为“紧急”。

    IE9不受此漏洞影响。

    如果用户使用IE打开特制网页,最严重的漏洞可导致远程代码执行。成功利用任一
    漏洞可获取与本地用户相同的用户权限。对系统具有较少用户权限的用户比管理员
    权限用户所受影响较少。

  - 临时解决方案:

  * 以纯文本格式读取电子邮件

  * 将“Internet"和本地内联网安全区域设置为“高”以在这些区域中禁用ActiveX控件和
    Active脚本。

  * 配置IE,在运行Active脚本之前提示或在互联网和内网安全区域中禁用Active脚本
    执行

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-018.mspx

2. MS11-019 - SMB中的漏洞可导致远程代码执行(2511455)

    - 漏洞描述:

    此安全更新可解决Microsoft Windows中一个秘密发布的漏洞和一个公开发布的漏
    洞。如果攻击者发送客户端SMB请求的特制SMB响应,此漏洞可允许远程代码执行。
    要利用这些漏洞,攻击者必须使用户启动到特制SMB服务器的SMB连接。


    - 临时解决方案:

    * 用防火墙阻止TCP端口138

    * 用防火墙禁止TCP端口139和445

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-019.mspx

3. MS11-020 - SMB服务器中的漏洞可导致远程代码执行(2508429)

    - 漏洞描述:

    此安全更新可解决Microsoft Windows中一个秘密发布的漏洞。如果攻击者向受影
    响系统发送创建的特制SMB报文,则此漏洞可允许远程代码执行。防火墙最佳实践
    和标准默认防火墙配置可保护网络不受企图利用漏洞进行的企业外围攻击。

    - 临时解决方案:

    * 在防火墙禁止TCP端口139和445

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-020.mspx

4. MS11-021 - Microsoft Excel中的漏洞可导致远程代码执行(2489279)

    - 漏洞描述:

    本更新修复了Microsoft Office中九个秘密报告的漏洞。如果用户打开特制的Excel
    文件,这些漏洞可能允许远程执行代码。成功利用任何漏洞的攻击者可以获得与本
    地用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管
    理用户权限的用户受到的影响要小。

    - 临时解决方案:

    * 使用Microsoft Office文件阻断策略以防止打开未知或不可信任来源的Office
    2003及更早版本的文档。

    * 当打开来自未知来源或不可信来源的文件时使用Microsoft Office隔离转换环
    境(MOICE)。

    * 不要打开从不可信任来源接收到或从可信任来源意外接收到的Microsoft Office
    文件。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-021.mspx

5. MS11-022 - Microsoft PowerPoint中的漏洞可导致远程代码执行(2489283)

    - 漏洞描述:

    本更新修复了Microsoft PowerPoint中三个秘密报告的漏洞。如果用户打开特制的
    PowerPoint文件,这些漏洞可能允许远程执行代码。成功利用任何漏洞的攻击者可
    以获得与本地用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用
    户比具有管理用户权限的用户受到的影响要小。PowerPoint 2010的自动“Microsoft Fix it”
    解决方案"Disable Edit in Protected View for PowerPoint 2010"在Microsoft
    Knowledge Base Article 2501584中有描述,可阻止利用CVE-2011-0655和
    CVE-2011-0656中所述漏洞的攻击。

    - 临时解决方案:

    * 设置“Office文件验证”以在PowerPoint 2010中禁用在保护视图中编辑

    * 使用“Microsoft Office文件阻止”策略禁止在Excel中打开来自不可信任来源和
      位置的Office 2003和早期版本的文件。

    * 在打开未知或可疑源的文件时使用MOICE

    * 不要打开来自可疑源的PP文件

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-022.mspx

6. MS11-023 - Microsoft Office中的漏洞可导致远程代码执行(2489293)

    - 漏洞描述:

    本更新修复了Microsoft Office中一个秘密报告的漏洞和一个公开发布的漏洞。如
    果用户打开特制的Office文件或位于特制库文件同一网络目录的合法Office文件,
    此漏洞可能允许远程执行代码。成功利用任何漏洞的攻击者可以获得与本地用户相同
    的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限
    的用户受到的影响要小。

    - 临时解决方案:

    * 禁用从WebDAV和远程网络共享加载库

    * 禁用WebClient服务

    * 在防火墙禁用TCP端口139和445

    * 使用“Microsoft Office文件阻止”策略禁止在Excel中打开来自不可信任来源和
    位置的Office 2003和早期版本的文件。

    * 在打开未知或可疑源的文件时使用MOICE

    * 不要打开来自可疑源的Office文件

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-023.mspx

7. MS11-024 - Windows传真封面编辑器中的漏洞可允许远程代码执行(2527308)

    - 漏洞描述:

    此安全更新解决了Windows中一个公开发布的漏洞。如果用户使用Windows传真首页
    编辑器打开特制的.cov文件,可致远程代码执行。成功利用任何漏洞的攻击者可以
    获得与本地用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户
    比具有管理用户权限的用户受到的影响要小。

    - 临时解决方案:

    * 删除Windows XP and Windows Server 2003上的Fax Cover Page .COV文件关联

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-024.mspx

8. MS11-025 - Microsoft基础类库MFC中的漏洞可能导致远程代码执行(2500212)

    - 漏洞描述:

    此安全更新解决了某些使用MFC库构建的应用程序中一个公开发布的漏洞。如果用
    户打开与此类受影响应用程序关联的合法文件,并且该文件位于与特制库文件相同
    的网络文件夹中,则此漏洞可导致远程代码执行。要成功攻击,用户必须浏览可疑
    远程文件系统位置或WebDAV共享并从此位置打开由受影响应用程序加载的文档。

    - 临时解决方案:

    * 禁止从WebDAV和远程网络共享加载库

    * 禁用WebClient服务

    * 在防火墙阻断TCP 139和445端口。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-025.mspx

9. MS11-026 - MHTML中的漏洞可能导致信息泄露(2503658)

    - 漏洞描述:

    此安全更新解决了Windows MHTML协议处理程序中一个公开发布的漏洞。如果用户
    浏览特制的网站,此漏洞可导致信息泄露。在基于Web的攻击方案中,Web站点中可
    包含用于利用此漏洞的特制链接。攻击者必须说服用户浏览恶意Web站点并打开特
    制的链接。

    - 临时解决方案:

    * 禁用MHTML协议处理程序。

    * 启用MHTML协议禁闭。

    * 将互联网和本地内网的安全区域设置为“高”以阻止在这些区域内的ActiveX控件
    和Active脚本执行

    * 配置IE,在运行活动脚本之前提示或在互联网和本地内网的安全区域禁用活动
    脚本。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-026.mspx

10. MS11-027 - ActiveX Kill Bit的累积安全更新(2508272)

    - 漏洞描述:

    本更新修复了Microsoft软件中两个秘密报告的漏洞和一个公开发布的漏洞。如果
    用户打开特制的网页,该网页在IE中实例化了特定的ActiveX控件,则此漏洞可能
    允许远程执行代码。那些帐户被配置为拥有较少系统用户权限的用户比具有管理
    用户权限的用户受到的影响要小。此更新也包含第三方ActiveX控件的删除位。

    - 临时解决方案:

    * 禁止在IE中运行COM对象。

    * 将互联网和本地内网的安全区域设置为“高”以阻止在这些区域内的ActiveX控件
    和Active脚本执行

    * 配置IE,在运行活动脚本之前提示或在互联网和本地内网的安全区域禁用活动
    脚本。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-027.mspx

11. MS11-028 - .NET Framework中的漏洞可能允许远程代码执行(2484015)

    - 漏洞描述:

    本更新修复了Microsoft.NET Framework中一个公开发布的漏洞。如果用户使用可
    运行XAML浏览器应用程序(XBAP)的网络浏览器打开特制的Web页,此漏洞可能允许
    远程执行代码。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权
    限的用户受到的影响要小。此漏洞也允许在运行IIS的服务器系统上远程执行代码,
    如果该服务器允许处理ASP.NET页且攻击者成功上传了特制的ASP.NET页到该服务器
    并执行了该页,与在主机托管方案中的情况一样。此漏洞也可被Windows .NET应用
    程序使用绕过CAS限制。

    - 临时解决方案:

    * 禁用有疑点的Microsoft .NET应用程序。

    * 在IE中禁用XAML浏览器程序。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-028.mspx

12. MS11-029 - GDI+中的漏洞可能允许远程代码执行(2489979)

    - 漏洞描述:

    本更新修复了Microsoft Windows GDI+中一个秘密报告的漏洞。如果用户使用受影
    响软件打开特制的图形文件或浏览包含特制内容的Web站点,此漏洞可能允许远程
    执行代码。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的
    用户受到的影响要小。

    - 临时解决方案:

    * 禁用图元文件处理

    * 限制访问gdiplus.dll

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-029.mspx

13. MS11-030 - DNS解析中的漏洞可能导致远程代码执行(2509553)

    - 漏洞描述:

    此安全更新可解决Microsoft DNS解析中一个秘密发布的漏洞。如果攻击者获取对
    网络的访问权,然后创建自定义程序发送特制LLMNR广播请求到目标系统,此漏洞
    可允许远程代码执行。防火墙最佳实践和标准默认防火墙配置可保护网络不受企
    图利用这些漏洞进行的企业外围攻击。最佳实践建议连接到互联网的系统尽量开放
    最少的端口。在此情况下,应从互联网中阻止LLMNR端口。

    - 临时解决方案:

    * 在防火墙禁用TCP端口5355和UDP端口5355

    * 使用组策略禁用链接-本地多播名称解析

    * 关闭网络发现

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-030.mspx

14. MS11-031 - JScript和VBScript脚本引擎中的漏洞可能允许远程代码执行(2514666)

    - 漏洞描述:

    此更新解决了JScript和VBScript脚本引擎中一个秘密报告的漏洞。此漏洞可在用
    户浏览特制Web站点时执行远程代码。攻击者无法强迫用户浏览恶意网站,必须诱
    使用户浏览,使其点击邮件或Instant Messenger消息中的链接转到攻击者的网站。

    - 临时解决方案:

    * 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX
    控件和活动脚本之前进行提示。

    * 将Internet 和本地Intranet安全区域设置设为“高”,以便在这些区域中运行
    ActiveX控件和活动脚本之前进行提示。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-031.mspx

15. MS11-032 - OpenType压缩字体格式(CFF)中的漏洞可能允许远程代码执行(2507618)

    - 漏洞描述:

    此更新解决了OpenType压缩字体格式(CFF)驱动程序中一个秘密报告的漏洞。此漏
    洞可在用户浏览以特制CFF字体呈现的内容时执行远程代码。通常,攻击者无法强
    迫用户浏览恶意网站,必须诱使用户浏览,使其点击邮件或Instant Messenger消
    息中的链接转到攻击者的网站。

    - 临时解决方案:

    * 在IE中禁用预览窗格和细节窗格

    * 禁用WebClient服务

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-032.mspx

16. MS11-033 - WordPad Text Converters写字板文本转换器中的漏洞可能允许远程
    代码执行(2485663)

    - 漏洞描述:

    此安全更新解决了Microsoft Windows中一个秘密报告的漏洞。如果用户使用写字
    板打开特制的文件,此漏洞可允许远程代码执行。成功利用任何漏洞的攻击者可以
    获得与本地用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户
    比具有管理用户权限的用户受到的影响要小。

    - 临时解决方案:

    * 通过限制访问转换器文件禁用WordPad Word 97文本转换器

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-033.mspx

17. MS11-034 - Windows内核模式驱动程序中的漏洞可能允许权限提升(2506223)

    - 漏洞描述:

    此安全更新解决了Microsoft Windows中三个秘密报告的漏洞。如果攻击者本地登
    录后运行特制的应用程序,此漏洞可允许远程权限提升。攻击者必须具有有效的
    登录凭证并可以本地登录以利用这些漏洞。这些漏洞无法远程利用或被匿名用户
    利用。

    - 临时解决方案:

    无

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS11-034.mspx

附加信息:
==========
1. http://www.microsoft.com/technet/security/bulletin/ms11-018.mspx
2. http://www.microsoft.com/technet/security/bulletin/ms11-019.mspx
3. http://www.microsoft.com/technet/security/bulletin/ms11-020.mspx
4. http://www.microsoft.com/technet/security/bulletin/ms11-021.mspx
5. http://www.microsoft.com/technet/security/bulletin/ms11-022.mspx
6. http://www.microsoft.com/technet/security/bulletin/ms11-023.mspx
7. http://www.microsoft.com/technet/security/bulletin/ms11-024.mspx
8. http://www.microsoft.com/technet/security/bulletin/ms11-025.mspx
9. http://www.microsoft.com/technet/security/bulletin/ms11-026.mspx
10. http://www.microsoft.com/technet/security/bulletin/ms11-027.mspx
11. http://www.microsoft.com/technet/security/bulletin/ms11-028.mspx
12. http://www.microsoft.com/technet/security/bulletin/ms11-029.mspx
13. http://www.microsoft.com/technet/security/bulletin/ms11-030.mspx
14. http://www.microsoft.com/technet/security/bulletin/ms11-031.mspx
15. http://www.microsoft.com/technet/security/bulletin/ms11-032.mspx
16. http://www.microsoft.com/technet/security/bulletin/ms11-033.mspx
17. http://www.microsoft.com/technet/security/bulletin/ms11-034.mspx
18. http://www.us-cert.gov/cas/techalerts/TA11-102A.html
19. http://www.nsfocus.net/index.php?act=alert&do=view&aid=118

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技