首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2003-09)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布11月安全公告 修复多个严重安全漏洞

发布日期:2003-11-12


综述:
======
微软刚刚发布了11月份的4个安全公告,这些公告描述并修复了大量安全漏洞,其中三个公告属于紧急级别,一个公告属于严重级别,攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,并参考我们提供的解决方法予以解决。

分析:
======
微软刚刚发布了4个最新的安全公告: MS03-048 到 MS03-051。这些安全公告分别描述了10个安全问题。

其中包括5个Internet Explorer相关的安全漏洞,1个Workstation 服务中的漏洞,2个Microsoft Word和Microsoft Excel中的安全漏洞,以及2个Microsoft FrontPage Server Extensions相关的安全漏洞。

其中,Workstation服务和FrontPage Server Extensions中的漏洞允许攻击者远程获取系统权限,需要用户立即进行处理。


1.  MS03-048 - Internet Explorer累积安全升级(824145)

    - 受影响系统:

    Microsoft Windows 98
    Microsoft Windows 98 Second Edition
    Microsoft Windows Millennium Edition
    Microsoft Windows NT Workstation 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Terminal Server Edition, Service Pack 6
    Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4
    Microsoft Windows XP, Microsoft Windows XP Service Pack 1
    Microsoft Windows XP 64-Bit Edition
    Microsoft Windows XP 64-Bit Edition Version 2003
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003, 64-Bit Edition

    - 已测试Microsoft Windows组件:

    受影响组件:

    Internet Explorer 6 Service Pack 1
    Internet Explorer 6 Service Pack 1(64-Bit Edition)
    Internet Explorer 6 Service Pack 1 for Windows Server 2003
    Internet Explorer 6 Service Pack 1 for Windows Server 2003(64-Bit Edition)
    Internet Explorer 6
    Internet Explorer 5.5 Service Pack 2
    Internet Explorer 5.01 Service Pack 4
    Internet Explorer 5.01 Service Pack 3
    Internet Explorer 5.01 Service Pack 2

    - 漏洞危害: 远程执行任意代码
    - 严重程度: 紧急
    - 漏洞描述:

    这是个累积升级,包括了所有之前发布的Internet Explorer 5.01,Internet
    Explorer 5.5和Internet Explorer 6.0升级的功能。此外,还修复了以下5个新
    发现的漏洞:
    
    Internet Explorer跨域安全模式中存在3个漏洞。这些漏洞可能导致在"我的电脑"
    区中执行代码。
    
    在Internet Explorer中向XML对象传送安全区信息的方式存在漏洞。这个漏洞可
    能允许攻击者读取用户系统中的本地文件。
    
    在Internet Explorer的动态HTML(DHTML)事件中执行拖放操作时存在安全漏洞。
    如果用户点击了一个链接的话,这个安全漏洞可能允许攻击者在用户系统的目标
    位置存储文件,不需要用户许可的对话框就可以进行下载。    

    - 临时解决方案:

    * 在Internet和Intranet区中运行ActiveX控件和活动脚本前要求提示。

    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/technet/security/bulletin/MS03-048.asp

2.  MS03-049 - Workstation服务中的缓冲区溢出可能允许代码执行(828749)

    - 受影响系统:

    Microsoft Windows 2000 Service Pack 2,Service Pack 3, Service Pack 4
    Microsoft Windows XP, Microsoft Windows XP Service Pack 1
    Microsoft Windows XP 64-Bit Edition

    注意:10月15日MS03-043(828035)安全公告中发布的Windows XP安全更新中包括了
    用于防范这个漏洞的升级文件。如果已经应用了那个安全更新的话就不必再应用
    这个升级。但是,本公告中的Windows 2000安全更新不是MS03-043(828035)中的
    安全更新。即使已经应用了那个安全更新也必须应用本公告中的升级。

    - 不受影响系统:

    Microsoft Windows NT Workstation 4.0, Service Pack 6a
    Microsoft Windows NT Server 4.0, Service Pack 6a
    Microsoft Windows NT Server 4.0, Terminal Server Edition, Service Pack 6
    Microsoft Windows Millennium Edition
    Microsoft Windows XP 64-Bit Edition Version 2003
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 64-Bit Edition


    - 漏洞危害: 远程执行代码
    - 严重程度:紧急
    - 漏洞描述:

    Windows Workstation服务中存在一个严重的缓冲区溢出漏洞,可能允许远程攻击者在
    受影响系统中远程执行代码。


    如果成功利用的话,攻击者可以在受影响系统中获得"系统"权限,或导致Workstation
    服务失效。攻击者可以在系统中采取任何行为,包括安装程序,浏览数据,更改
    数据,删除数据,或以完全权限创建新帐号。

    - 临时解决方案:

    * 在防火墙上过滤UDP 138, 139, 445端口和TCP 138, 139, 445端口。
    * 使用个人防火墙过滤进入的流量,比如Windows XP捆绑的Internet连接防火墙。
    * 在Windows 2000和Windows XP自带的高级TCP/IP过滤。
    * 禁用Workstation服务。
    
      注意: 禁用此服务将导致很多依赖它的服务失效,例如您将不能访问共享资源,
      不能使用拨号、 *DSL、Cable modem连接等等。仅推荐有经验的用户使用此方
      法。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:

      Microsoft Windows 2000:
      http://www.microsoft.com/downloads/details.aspx?FamilyId=2467FE46-D167-479C-9638-D4D79483F261&displaylang=en

      Microsoft Windows XP:
      http://www.microsoft.com/downloads/details.aspx?FamilyId=F02DA309-4B0A-4438-A0B9-5B67414C3833&displaylang=en

      Microsoft Windows XP:
      http://www.microsoft.com/downloads/details.aspx?FamilyId=2BE95254-4C65-4CA5-80A5-55FDF5AA2296&displaylang=en

3.  MS03-050 - Microsoft Word和Microsoft Excel中的漏洞可能允许执行任意代码(831527)

    - 受影响系统:

    Microsoft Excel 97
    Microsoft Excel 2000
    Microsoft Excel 2002
    Microsoft Word 97
    Microsoft Word 98(J)
    Microsoft Word 2000和Microsoft Works Suite 2001
    Microsoft Word 2002,Microsoft Works Suite 2002,Microsoft Works Suite 2003
    和Microsoft Works Suite 2004

    - 不受影响系统:

    Microsoft Office Word 2003
    Microsoft Office Excel 2003

    - 漏洞危害: 运行攻击者选择的代码
    - 严重程度: 重要
    - 漏洞描述:

    Microsoft Excel中的安全漏洞可能允许执行恶意代码。这个漏洞的起因是Excel
    在读取宏指令之前检查电子表格的方式存在漏洞。如果成功利用的话,攻击者可
    以创建能够绕过宏安全模式的恶意文件。如果用户打开了受影响的电子表格,则
    无论设置了什么宏安全级别,这个漏洞都允许自动执行文件中嵌入的恶意宏。然
    后恶意的宏就可以执行任何用户可以执行的行为,比如添加,更改或删除数据,
    同网站通讯或格式化硬盘。

    Microsoft Word中存在的安全漏洞可能允许执行恶意代码。这个漏洞的起因是Word
    检查文件嵌入的数据值(宏名称)长度的方式存在漏洞。如果打开了特别创建的文
    件的话,就会溢出Word中的数据值,允许执行任意代码。如果成功利用的话,攻
    击者就可以执行任何用户可以执行的行为,比如添加,更改或删除数据,同网站
    通讯或格式化硬盘。

    - 临时解决方案:

    由于这个漏洞绕过了内部宏安全,最好的临时解决方案就是不要打开不可信任的
    文件。

    - 厂商补丁:

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
     http://www.microsoft.com/technet/security/bulletin/MS03-050.asp

4.  MS03-051 - Microsoft FrontPage Server Extensions中的缓冲区溢出可能允许执
    行代码(813360)

    - 受影响系统:

    Microsoft Windows 2000 Service Pack 2,Service Pack 3
    Microsoft Windows XP,Microsoft Windows XP Service Pack 1
    Microsoft Office XP,Microsoft Office XP Service Release 1

    - 不受影响系统:

    Microsoft Windows Millennium Edition
    Microsoft Windows NT Workstation 4.0, Service Pack 6a
    Microsoft Windows NT Server 4.0,Service Pack 6a
    Microsoft Windows NT Server 4.0,Terminal Server Edition, Service Pack 6
    Microsoft Windows 2000 Service Pack 4
    Microsoft Windows XP 64-Bit Edition Version 2003
    Microsoft Windows Server 2003(Windows SharePoint Services)
    Microsoft Windows Server 2003 64-Bit Edition(Windows SharePoint Services)
    Microsoft Office System 2003

    已测试的Microsoft Windows和Office组件:

    受影响组件:

    Microsoft FrontPage Server Extensions 2000
    Microsoft FrontPage Server Extensions 2000(捆绑于Windows 2000)
    Microsoft FrontPage Server Extensions 2000(捆绑于Windows XP)
    Microsoft FrontPage Server Extensions 2002
    Microsoft SharePoint Team Services 2002(捆绑于Office XP)

    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    Microsoft FrontPage Server Extensions中存在2个安全漏洞,最严重的可能允许
    攻击者在用户系统中执行任意代码。

    第一个漏洞的起因是FrontPage Server Extensions远程调试功能中的缓冲区溢出。
    成功利用这个漏洞的攻击者可以在受影响系统中以"本地系统"权限运行代码,或
    导致FrontPage Server Extensions失效。然后攻击者就可以在系统中采取任何行
    为,包括安装程序,浏览,更改或删除数据,或以完全权限创建新帐号。

    第二个漏洞是SmartHTML解释程序中的拒绝服务漏洞。成功利用这个漏洞的攻击者
    可以导致运行FrontPage Server Extensions的服务器临时停止响应请求。

    - 临时解决方案:

    * 使用IIS Lockdown工具在IIS Server中禁用FrontPage Server Extensions。
    * 如果您不需要使用FrontPage Server Extensions, 您还可以通过控制面板中的
      "添加/删除程序"来卸载FrontPage Server Extensions。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:

      Microsoft FrontPage Server Extensions 2000:
      http://www.microsoft.com/downloads/details.aspx?FamilyId=C84C3D10-A821-4819-BF58-D3BC70A77BFA&displaylang=en

      Microsoft FrontPage Server Extensions 2000(捆绑于Windows 2000):
      http://www.microsoft.com/downloads/details.aspx?FamilyId=057D5F0E-0E2B-47D2-9F0F-3B15DD8622A2&displaylang=en

      Microsoft FrontPage Server Extensions 2000(捆绑于Windows XP):
      http://www.microsoft.com/downloads/details.aspx?FamilyId=9B302532-BFAB-489B-82DC-ED1E49A16E1C&displaylang=en

      Microsoft FrontPage Server Extensions 2002:
      http://www.microsoft.com/downloads/details.aspx?FamilyId=3E8A21D9-708E-4E69-8299-86C49321EE25&displaylang=en

      Microsoft SharePoint Team Services 2002 (捆绑于Windows XP):
      http://www.microsoft.com/downloads/details.aspx?FamilyId=5923FC2F-D786-4E32-8F15-36A1C9E0A340&displaylang=en

附加信息:
==========
1. http://www.microsoft.com/technet/security/bulletin/MS03-048.asp
2. http://www.microsoft.com/technet/security/bulletin/MS03-049.asp
3. http://www.microsoft.com/technet/security/bulletin/MS03-050.asp
4. http://www.microsoft.com/technet/security/bulletin/MS03-051.asp

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技