首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2012-04)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布6月份安全公告 修复多个严重安全漏洞

发布日期:2012-06-13


综述:
======
微软发布了6月份的7篇安全公告,这些公告描述并修复了27个安全漏洞, 远程未验证
的攻击者可利用这些漏洞执行任意代码、造成拒绝服务或非法访问文件或系统。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,
并按照我们提供的解决方法予以解决。

分析:
======
微软发布了6月份的7篇最新的安全公告:MS12-036到MS12-042。这些安全公告描述了
25个安全问题,分别是有关Microsoft Windows、Microsoft Internet Explorer、
Microsoft .NET Framework、Microsoft Office、Microsoft Visual Basic for
Applications、Microsoft Dynamics AX中的漏洞。

1. MS12-036 - “远程桌面”中的漏洞可允许远程代码执行 (2685939)

- 摘要:

此安全更新解决了“远程桌面协议”中1个秘密报告的漏洞。如果攻击者发送特制的RDP
报文到受影响系统,该漏洞可允许远程代码执行。默认情况下,在所有Windows操作系统
上,RDP是禁用的。没有启用RDP的系统没有风险。

- 受影响软件:

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

- 漏洞描述:

(1)远程桌面协议漏洞 - CVE-2012-0173

RDP访问没有正确初始化或已删除内存对象的方式存在远程代码执行漏洞。成功利用该
漏洞的攻击者可利用此漏洞在目标系统上运行任意代码。(CVE-2012-0173)

_ 临时解决方案:

* 禁用“终端服务”、“远程桌面”、“远程协助”、Windows Small Business Server
2003 RWW功能。

* 在防火墙阻止TCP端口3389

2、MS12-037 - Internet Explorer累计的安全更新 (2699988)

- 摘要:

此安全更新解决了“Internet Explorer”中1个公开泄露和12个秘密报告的漏洞。如果
用户使用IE查看特制的网页,最严重的漏洞可允许远程代码执行。

- 受影响软件:

Internet Explorer 6
Internet Explorer 7
Internet Explorer 8
Internet Explorer 9

- 漏洞描述:

(1)中心元素远程代码执行漏洞 - CVE-2012-1523

IE访问已经删除的对象时存在远程代码执行漏洞。攻击者可利用当前用户权限执行任意
代码以破坏内存。

_ 临时解决方案:

* 设置互联网和内联网安全区域设置为“高”

* 配置IE在运行活动脚本之前提示或直接禁用。

(2)HTML 过滤漏洞 - CVE-2012-1858

IE在过滤HTML时处理特定字符串的方式中存在信息泄露漏洞。通过构建特制的网页,
攻击者可在用户查看恶意网页时利用此漏洞执行跨站脚本,针对使用toStaticHTML
方法的站点发动攻击。

_ 临时解决方案:

* 以纯文本读取邮件

* 设置互联网和内联网安全区域设置为“高”

* 配置IE在运行活动脚本之前提示或直接禁用。

(3)EUC-JP字符编码漏洞 - CVE-2012-1872

IE在实现上存在允许脚本执行XSS攻击的信息泄露漏洞,通过在站点注入特制字符串,攻
击者可在用户查看该网站时窃取敏感信息。

_ 临时解决方案:

* 设置互联网和内联网安全区域设置为“高”

* 配置IE在运行活动脚本之前提示或直接禁用。

(4)空字节信息泄露漏洞 - CVE-2012-1873

IE中存在允许攻击者访问和读取IE进程内存的信息泄露漏洞。通过构建特制网页,在用户
查看时,攻击者可利用此漏洞查看IE进程内存内容。

_ 临时解决方案:

* 以纯文本读取邮件

* 设置互联网和内联网安全区域设置为“高”

* 配置IE在运行活动脚本之前提示或直接禁用。

(5)开发者工具栏远程代码执行漏洞 - CVE-2012-1874

IE访问已经删除的对象时存在远程代码执行漏洞。攻击者可利用当前用户权限执行任意
代码以破坏内存。

_ 临时解决方案:

* 设置互联网和内联网安全区域设置为“高”

* 配置IE在运行活动脚本之前提示或直接禁用。

(6)同一ID属性远程代码执行漏洞 - CVE-2012-1875

IE访问已经删除的对象时存在远程代码执行漏洞。攻击者可利用当前用户权限执行任意
代码以破坏内存。

_ 临时解决方案:

* 设置互联网和内联网安全区域设置为“高”

* 配置IE在运行活动脚本之前提示或直接禁用。

(7)Col元素远程代码执行漏洞 - CVE-2012-1876

IE访问不存在的对象时存在远程代码执行漏洞。攻击者可利用当前用户权限执行任意
代码以破坏内存。

_ 临时解决方案:

* 设置互联网和内联网安全区域设置为“高”

* 配置IE在运行活动脚本之前提示或直接禁用。

(8)Title元素更改远程代码执行漏洞 - CVE-2012-1877

IE访问已经删除的对象时存在远程代码执行漏洞。攻击者可利用当前用户权限执行任意
代码以破坏内存。

_ 临时解决方案:

* 设置互联网和内联网安全区域设置为“高”

* 配置IE在运行活动脚本之前提示或直接禁用。

(9)OnBeforeDeactivate事件远程代码执行漏洞 - CVE-2012-1878

IE访问已经删除的对象时存在远程代码执行漏洞。攻击者可利用当前用户权限执行任意
代码以破坏内存。

_ 临时解决方案:

* 设置互联网和内联网安全区域设置为“高”

* 配置IE在运行活动脚本之前提示或直接禁用。

(10)insertAdjacentText远程代码执行漏洞 - CVE-2012-1879

IE访问未定义的内存位置时存在远程代码执行漏洞。攻击者可利用当前用户权限执行任意
代码以破坏内存。

_ 临时解决方案:

* 设置互联网和内联网安全区域设置为“高”

* 配置IE在运行活动脚本之前提示或直接禁用。

(11)insertRow远程代码执行漏洞 - CVE-2012-1880

IE访问已经删除的对象时存在远程代码执行漏洞。攻击者可利用当前用户权限执行任意
代码以破坏内存。

_ 临时解决方案:

* 设置互联网和内联网安全区域设置为“高”

* 配置IE在运行活动脚本之前提示或直接禁用。

(12)OnRowsInserted远程代码执行漏洞 - CVE-2012-1881

IE访问已经删除的对象时存在远程代码执行漏洞。攻击者可利用当前用户权限执行任意
代码以破坏内存。

_ 临时解决方案:

* 设置互联网和内联网安全区域设置为“高”

* 配置IE在运行活动脚本之前提示或直接禁用。

(13)Scrolling事件信息泄露漏洞 - CVE-2012-1882

IE中存在可允许攻击者访问另一个域或IE区域内信息的漏洞,在用户查看攻击者构建的
特制网页时,攻击者可利用此漏洞获取敏感信息。

_ 临时解决方案:

* 设置互联网和内联网安全区域设置为“高”

* 配置IE在运行活动脚本之前提示或直接禁用。

3、MS12-038 - .NET Framework远程代码执行漏洞 (2706726)

- 摘要:

此安全更新解决了“Microsoft .NET Framework”中1个秘密报告的漏洞。如果用户
使用运行XBAPs的浏览器查看特制网页,该漏洞可允许远程代码执行。该漏洞也可被
Windows .NET应用绕过CAS限制。

- 受影响软件:

Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4

- 漏洞描述:

(1).NET Framework内存访问漏洞 - CVE-2012-1855

由于错误执行函数指针,Microsoft .NET Framework中存在远程代码执行漏洞,成功
利用后可导致完全控制受影响系统。

_ 临时解决方案:

* 在IE中禁用XAML浏览器应用

4、MS12-039 - Lync远程代码执行漏洞 (2707956)

- 摘要:

此安全更新解决了“Microsoft Lync”中1个公开报告的漏洞和3个秘密报告的漏洞。
如果用户查看包含特制TrueType字体的共享内容,最严重的漏洞可允许远程代码执行。

- 受影响软件:

Microsoft Communicator 2007 R2
Microsoft Lync 2010 (32位)
Microsoft Lync 2010 (64位)
Microsoft Lync 2010 Attendee
Microsoft Lync 2010 Attendant (32位)
Microsoft Lync 2010 Attendant (64位)

- 漏洞描述:

(1)TrueType字体解析漏洞 - CVE-2011-3402

受影响组件处理包含特制TrueType字体的共享内容时存在远程代码执行漏洞,如果用户
查看包含特制TrueType字体的共享内容,该漏洞可允许远程代码执行。

_ 临时解决方案:

* 无

(2)TrueType字体解析漏洞 - CVE-2012-0159

受影响组件处理包含特制TrueType字体的共享内容时存在远程代码执行漏洞,如果用户
查看包含特制TrueType字体的共享内容,该漏洞可允许远程代码执行。

_ 临时解决方案:

* 无

(3)Lync不安全库加载漏洞 - CVE-2012-1849

Microsoft Lync处理加载DLL文件时存在远程代码执行漏洞,成功利用后可允许攻击者
控制受影响系统。

_ 临时解决方案:

* 禁止从WebDAV和远程网络共享加载库。

* 在防火墙阻止TCP端口139和445

(4)HTML过滤漏洞 - CVE-2012-1858

HTML过滤时存在信息泄露漏洞,可允许攻击者执行XSS攻击和运行脚本。

_ 临时解决方案:

* 无

5、MS12-040 - Microsoft Dynamics AX Enterprise Portal权限提升漏洞 (2709100)

- 摘要:

此安全更新解决了Microsoft Dynamics AX Enterprise Portal中1个秘密报告的漏洞。
如果用户单击特制的URL或查看特制网站,该漏洞可允许权限提升。

- 受影响软件:

Microsoft Dynamics AX 2012

- 漏洞描述:

(1) Dynamics AX Enterprise Portal XSS漏洞 - CVE-2012-1857

Microsoft Dynamics AX Enterprise Portal中存在XSS漏洞,如果用户单击包含恶意JS
元素的URL,可造成信息泄露或权限提升。当恶意JS返回到用户浏览器后,由于该漏洞,
结果页面可允许攻击者以已验证用户权限在目标Microsoft Dynamics AX Enterprise
Portal站点发布Microsoft Dynamics AX Enterprise Portal命令。

_ 临时解决方案:

在本地内联网安全区域中启用IE8和IE9 XSS过滤器。

6、MS12-041 - Windows Kernel-Mode Drivers权限提升漏洞 (2709162)

- 摘要:

此安全更新解决了 Microsoft Windows中5个秘密发布的漏洞。如果攻击者登录到系统
并运行特制的应用,该漏洞可允许权限提升。攻击者必须具有本地登录凭证。

- 受影响软件:

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

- 漏洞描述:

(1)字符串原子类名称处理漏洞 - CVE-2012-1864

Windows内核模式驱动程序管理内核模式驱动程序对象时存在权限提升漏洞,成功利用后
可允许在内核模式中运行任意代码。

_ 临时解决方案:



(2)字符串原子类名称处理漏洞 - CVE-2012-1865

Windows内核模式驱动程序管理内核模式驱动程序对象时存在权限提升漏洞,成功利用后
可允许在内核模式中运行任意代码。

_ 临时解决方案:



(3)剪贴板文件格式原子名称处理漏洞 - CVE-2012-1866

Windows内核模式驱动程序管理内核模式驱动程序对象时存在权限提升漏洞,成功利用后
可允许在内核模式中运行任意代码。

_ 临时解决方案:



(4)字体资源Refcount整数溢出漏洞 - CVE-2012-1867

Windows内核模式驱动程序管理内核模式驱动程序对象时存在权限提升漏洞,成功利用后
可允许在内核模式中运行任意代码。

_ 临时解决方案:



(5)Win32k.sys竞争条件漏洞 - CVE-2012-1868

Windows内核处理特定线程创建时存在权限提升漏洞,成功利用后可允许在内核模式中运
行任意代码。

_ 临时解决方案:



7、MS12-042 - Windows Kernel权限提升漏洞 (2711167)

- 摘要:

此更新解决了Microsoft Windows中1个秘密报告和1个公开发布的漏洞。如果攻击者
登录到受影响系统并运行特制应用,可导致其提升权限。攻击者必须具有有效的本地
登录配置。此漏洞无法远程利用或有匿名用户利用。

- 受影响软件:

Windows XP Service Pack 3
Windows Server 2003 Service Pack 2
Windows 7 for x64-based Systems
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1

- 漏洞描述:

(1)用户模式调度程序内存破坏漏洞 - CVE-2012-0217

Windows User Mode Scheduler处理系统请求时存在权限提升漏洞,成功利用后可导致在
内核模式中运行任意代码。

_ 临时解决方案:



(2)BIOS ROM破坏漏洞 - CVE-2012-1515

Windows处理BIOS内存时存在权限提升漏洞,成功利用后可导致在内核模式中运行任意代码。

_ 临时解决方案:



厂商状态:
==========
微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
的"Windows update"功能下载最新补丁。

您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
http://technet.microsoft.com/en-us/security/bulletin/MS12-036
http://technet.microsoft.com/en-us/security/bulletin/MS12-037
http://technet.microsoft.com/en-us/security/bulletin/MS12-038
http://technet.microsoft.com/en-us/security/bulletin/MS12-039
http://technet.microsoft.com/en-us/security/bulletin/MS12-040
http://technet.microsoft.com/en-us/security/bulletin/MS12-041
http://technet.microsoft.com/en-us/security/bulletin/MS12-042

附加信息:
==========
1. http://technet.microsoft.com/en-us/security/bulletin/MS12-036
2. http://technet.microsoft.com/en-us/security/bulletin/MS12-037
3. http://technet.microsoft.com/en-us/security/bulletin/MS12-038
4. http://technet.microsoft.com/en-us/security/bulletin/MS12-039
5. http://technet.microsoft.com/en-us/security/bulletin/MS12-040
6. http://technet.microsoft.com/en-us/security/bulletin/MS12-041
7. http://technet.microsoft.com/en-us/security/bulletin/MS12-042
8. http://secunia.com/advisories/49456/
9. http://secunia.com/advisories/49456/
10. http://secunia.com/advisories/49412/
11. http://secunia.com/advisories/49418/
12. http://secunia.com/advisories/48429/
13. http://secunia.com/advisories/49418/
14. http://secunia.com/advisories/49418/
15、http://secunia.com/advisories/49436/
16、http://secunia.com/advisories/49454/
17、http://www.us-cert.gov/cas/techalerts/TA12-164A.html

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技