首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2003-08)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

Windows系统存在多个严重安全漏洞

发布日期:2003-10-16


综述:
======
微软刚刚发布了7个安全公告,这些公告描述并修复了大量安全漏洞,其中大部分的安全漏洞都属于严重或紧急级别,攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,并按照我们提供的解决方法予以解决。

分析:
======
微软刚刚发布了7个最新的安全公告: MS03-041 到 MS03-047。这些安全公告分别描述了
7个安全问题。其中包括2个Microsoft Exchange Server相关的安全漏洞,以及5个
Microsoft Windows系统相关的安全漏洞。

其中,MS03-043以及MS03-046所描述的安全漏洞可能允许未授权的攻击者远程直接入侵
存在漏洞的Windows系统,需要立刻采取措施进行修复。


1.  MS03-041 - 微软Authenticode实现允许远程执行任意代码(823182)

             - 受影响系统:
        
               - Microsoft Windows NT 4.0
               - Microsoft Windows 2000
               - Microsoft Windows XP
               - Microsoft Windows Server 2003

             - 不受影响系统:
  
               - Microsoft Windows Millennium Edition

             - 漏洞危害: 远程执行任意代码
             - 严重程度: 紧急
             - 漏洞描述:

                 微软Windows操作系统提供了一种Authenticode技术用来识别ActiveX
                 控件的发布者。然而这种技术在实现上存在一个安全漏洞,在某些特
                 定条件下,一个ActiveX控件会被下载并安装而不会出现需要用户确
                 认的提示框。
                
                 攻击者可能通过设置恶意WEB站点或者发送HTML邮件等方式诱使用户
                 下载并安装恶意的ActiveX控件,从而以该用户的身份执行任意代码。

             - 临时解决方案:

                  * 在IE的Internet区域的安全设置中禁用"下载已签名的ActiveX控
                    件"选项。
                  * 将您认为可信的站点添加到"可信站点"区域中,以便来自这些站点
                    的ActiveX控件可以正常使用。

              - 厂商补丁:                

                微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系
                统自带的"Windows update"功能下载最新补丁。

                您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
                http://www.microsoft.com/technet/security/bulletin/MS03-041.asp


2.  MS03-042 - 微软Windows Troubleshooter ActiveX控件的缓冲区溢出漏洞允许执行任意代码(826232)

             - 受影响系统:
        
               - Microsoft Windows 2000

             - 不受影响系统:

               - Microsoft Windows NT 4.0  
               - Microsoft Windows Millennium Edition
               - Microsoft Windows XP
               - Microsoft Windows Server 2003

             - 漏洞危害: 远程执行任意代码
             - 严重程度: 紧急
             - 漏洞描述:

                 微软Windows操作系统中的Troubleshooter ActiveX控件存在一个缓
                 冲区溢出漏洞,由于这个控件被标识为安全控件,可能被攻击者利
                 用来执行任意代码。
                
                 攻击者可能通过设置恶意WEB站点或者发送HTML邮件等方式诱使用户
                 下载并安装恶意的ActiveX控件,从而以该用户的身份执行任意代码。

             - 临时解决方案:

                  * 在IE的Internet区域的安全设置中设置"运行 ActiveX 控
                    件和插件"选项为"禁用"或者"提示"。
                  * 将您认为可信的站点添加到"可信站点"区域中,以便来自这些站点
                    的ActiveX控件可以正常使用。

              - 厂商补丁:                

                微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系
                统自带的"Windows update"功能下载最新补丁。

                您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
                http://www.microsoft.com/technet/security/bulletin/MS03-042.asp


3.  MS03-043 - 微软Windows Messenger服务的缓冲区溢出漏洞允许执行任意代码(828035)

             - 受影响系统:
        
               - Microsoft Windows NT 4.0
               - Microsoft Windows 2000
               - Microsoft Windows XP
               - Microsoft Windows Server 2003

             - 不受影响系统:
  
               - Microsoft Windows Millennium Edition
               - Microsoft Windows 98

             - 漏洞危害: 远程执行任意代码
             - 严重程度: 紧急
             - 漏洞描述:

                 微软Windows操作系统中的Messenger服务存在一个缓冲区溢出漏洞,
                 由于在向缓冲区保存消息数据之前没有正确检查消息长度,可能被
                 攻击者利用来远程执行任意代码。
                
                 攻击者可能通过向Windows系统发送恶意的消息来使Messenger服务
                 崩溃,或者可能以本地系统权限执行任意指令,这将使攻击者完全
                 控制被攻击系统。

             - 临时解决方案:

                  * 在边界防火墙或者个人防火墙上禁止不可信主机访问NETBIOS和RPC端口
                     135, 137, 138, 139 (TCP/UDP)

                  * 禁用Messenger服务。

                    打开"开始" ,(或打开"设置")点击"控制面板",然后双击"管理工具",
                    双击"服务",找到并双击"Messenger", 在"启动类型"的下拉框中选择
                    "已禁用",然后点击"停止",然后点击"确定"。
                    

              - 厂商补丁:                

                微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系
                统自带的"Windows update"功能下载最新补丁。

                您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
                http://www.microsoft.com/technet/security/bulletin/MS03-043.asp

4.  MS03-044 - 微软Windows帮助与支持中心的缓冲区溢出漏洞可能导致系统入侵(825119)

             - 受影响系统:
        
               - Microsoft Windows NT 4.0  
               - Microsoft Windows Millennium Edition
               - Microsoft Windows 2000
               - Microsoft Windows XP
               - Microsoft Windows Server 2003

             - 漏洞危害: 远程执行任意代码
             - 严重程度: 紧急
             - 漏洞描述:

                 微软Windows操作系统提供帮助与支持中心的功能,它在处理HCP协议
                 相关连的文件名时存在一个缓冲区溢出漏洞,可能被攻击者利用来执
                 行任意代码。
                
                 攻击者可能通过设置恶意WEB站点或者发送HTML邮件等方式诱使用户
                 点击恶意的URL链接,从而以该用户的身份执行任意代码。

             - 临时解决方案:

                  * 注销HCP协议,这可能导致一些正常功能无法使用

              - 厂商补丁:                

                微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系
                统自带的"Windows update"功能下载最新补丁。

                您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
                http://www.microsoft.com/technet/security/bulletin/MS03-044.asp

5.  MS03-045 - 微软Windows ListBox 和ComboBox 控件中的缓冲区溢出允许执行代码(824141)

             - 受影响系统:
        
               - Microsoft Windows NT 4.0
               - Microsoft Windows 2000
               - Microsoft Windows XP
               - Microsoft Windows Server 2003

             - 不受影响系统:
  
               - Microsoft Windows Millennium Edition

             - 漏洞危害: 本地执行任意代码
             - 严重程度: 重要
             - 漏洞描述:

                 微软Windows操作系统中的两个控件ListBox和ComboBox都调用了一个
                 存在缓冲区溢出的函数,这个函数在处理特殊的Windows消息时没有
                 对参数做正确的长度检查。任何使用了这两个控件的应用都可能被
                 攻击,例如,Windows 2000自带的程序管理器(Utility Manager)。
                
                 一个可以本地登陆进入系统的攻击者可以发送特殊构造的Windows
                 消息给任何使用了两个问题控件的应用,从而使该应用程序执行攻击
                 者指定的代码。在Windows 2000系统下,通过攻击Utility Manager,
                 攻击者可以完全控制系统。
                
             - 临时解决方案:

                  * 通过设置软件策略禁止使用Utility Manager。
                    

              - 厂商补丁:                

                微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系
                统自带的"Windows update"功能下载最新补丁。

                您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
                http://www.microsoft.com/technet/security/bulletin/MS03-045.asp


6.  MS03-046 - 微软Exchange Server存在漏洞允许执行代码(829436)

             - 受影响系统:
        
               - Microsoft Exchange Server 5.5
               - Microsoft Exchange Server 2000

             - 不受影响系统:
  
               - Microsoft Windows Server 2003

             - 漏洞危害: 远程执行任意代码
             - 严重程度: 紧急
             - 漏洞描述:

                 微软Exchange Server所带的Internet Mail服务存在一个安全漏洞,当
                 一个未授权用户向SMTP服务发送特殊构造的扩展verb请求时,可能造成
                 Exchange Server 5.5的Internet Mail服务崩溃或者服务器停止响应。
                 Exchange Server 2000也存在类似漏洞, 但攻击者还可以造成一个缓
                 冲区溢出,从而以SMTP服务运行身份执行任意代码。
                  
                
             - 临时解决方案:

                  * 在防火墙上过滤不可信主机对目标主机SMTP服务的访问。对于使用Windows
                    ISA防火墙的用户,您可以通过设置ISA发布规则来过滤SMTP协议扩展的请
                    求,您可以参考如下链接:
                     http://support.microsoft.com/default.aspx?scid=kb;en-us;311237

              - 厂商补丁:                

                微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系
                统自带的"Windows update"功能下载最新补丁。

                您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
                http://www.microsoft.com/technet/security/bulletin/MS03-046.asp

                Microsoft Exchange Server 5.5:
                http://www.microsoft.com/downloads/details.aspx?FamilyId=A9E872EA-54B0-4179-8AE9-5648BFB46459&displaylang=en

                Microsoft Exchange 2000 Server:
                http://www.microsoft.com/downloads/details.aspx?FamilyId=7BAF5394-1B4E-4937-A570-9F232AE49F01&displaylang=en

7.  MS03-047 - 微软Exchange Server 5.5 Outlook Web Access允许跨站脚本攻击(828489)

             - 受影响系统:
        
               - Microsoft Exchange Server 5.5

             - 不受影响系统:

               - Microsoft Exchange Server 2000  
               - Microsoft Windows Server 2003

             - 漏洞危害: 远程执行任意代码
             - 严重程度: 中等
             - 漏洞描述:
            
                 微软Exchange Server 5.5所带的Outlook Web Access (OWA)在实现HTML编码
                 时存在一个跨站脚本(XSS)漏洞,攻击者可以利用这个漏洞来使访问OWA站点
                 的用户运行特定的java脚本。
                  
                
             - 临时解决方案:

                  * 禁用或者卸载OutLook Web Access。

              - 厂商补丁:                

                微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系
                统自带的"Windows update"功能下载最新补丁。

                您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
                http://www.microsoft.com/technet/security/bulletin/MS03-047.asp

                Microsoft Exchange Server 5.5:
                http://www.microsoft.com/downloads/details.aspx?FamilyId=C516FE75-95CE-4FFF-B83D-9B170FCD0C1C&displaylang=en

附加信息:
==========
1. http://www.microsoft.com/technet/security/bulletin/MS03-041.asp
2. http://www.microsoft.com/technet/security/bulletin/MS03-042.asp
3. http://www.microsoft.com/technet/security/bulletin/MS03-043.asp
4. http://www.microsoft.com/technet/security/bulletin/MS03-044.asp
5. http://www.microsoft.com/technet/security/bulletin/MS03-045.asp
6. http://www.microsoft.com/technet/security/bulletin/MS03-046.asp
7. http://www.microsoft.com/technet/security/bulletin/MS03-047.asp

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技