首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2005-04)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布2005年4月份安全公告 修复多个严重安全漏洞

发布日期:2005-04-13


综述:
======
微软刚刚发布了8个安全公告,这些公告描述并修复了多个安全漏洞,其中很大一部分漏洞都属于最高风险级别,攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,并按照我们提供的解决方法予以解决。

分析:
======
微软刚刚发布了8个最新的安全公告: MS05-016到MS05-023。这些安全公告共计描述了18个安全问题,分别是有关各版本的Microsoft Windows,Microsoft Word,Microsoft MSN Messenger,Windows Exchange Server和Internet Explorer的漏洞。

1.  MS05-016 Windows Shell中的漏洞可能允许远程执行代码

    - 受影响系统:

    Microsoft Windows 2000 Service Pack 3和Microsoft Windows 2000 Service
    Pack 4
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
    Microsoft Windows XP 64-Bit Edition 2003版(Itanium)
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 for Itanium-based Systems
    Microsoft Windows 98,Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)
    
    - 不受影响系统:
    
    Microsoft Windows Server 2003 Service Pack 1
    Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
    Microsoft Windows Server 2003 x64 Edition
    Microsoft Windows XP Professional x64 Edition
          
    - 漏洞危害: 远程执行代码
    - 严重程度: 重要
    - 漏洞描述:

    Windows中的漏洞可能允许攻击者完全控制受影响的系统。利用这个漏洞必须用户
    交互。

    风险级别和漏洞标识
      ____________________________________________________________
     |漏洞标识     |漏洞影响 |Windows  |Windows|Windows |Windows |
     |             |         |98,98 SE,|2000   |XP      |Server  |
     |             |         |ME       |       |        |2003    |
     |_____________|_________|_________|_______|________|________|
     |Windows Shell|         |         |       |        |        |
     |漏洞         |远程执行 |非紧急   |重要   |重要    |重要    |
     |CAN-2005-0063|代码     |         |       |        |        |
     |_____________|_________|_________|_______|________|________|
    
    - 临时解决方案:
    
    * 禁用HTML Application Host应用
      
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:

    http://www.microsoft.com/technet/security/Bulletin/MS05-016.mspx
    
2.  MS05-017 消息队列中的漏洞可能允许远程执行代码

    - 受影响系统:
    
    Microsoft Windows 2000 Service Pack 3和Microsoft Windows 2000 Service
    Pack 4
    Microsoft Windows XP Service Pack 1
    Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
    Microsoft Windows 98和Microsoft Windows 98 Second Edition (SE)
    
    - 不受影响系统:
    
    Microsoft Windows XP Service Pack 2
    Microsoft Windows XP 64-Bit Edition 2003版 (Itanium)
    Microsoft Windows Server 2003和Windows Server 2003 Service Pack 1
    Microsoft Windows Server 2003 for Itanium-based Systems
    Microsoft Windows Millennium Edition (ME)
  
    - 漏洞危害: 远程执行代码
    - 严重程度: 重要
    - 漏洞描述:

    MSMQ中的漏洞可能允许攻击者完全控制受影响的系统。消息队列在受影响的操作
    系统中不是默认安装的。

    风险级别和漏洞标识
     ____________________________________________________
     |漏洞标识     |漏洞影响 |Windows  |Windows|Windows |
     |             |         |98,98 SE,|2000   |XP SP1  |
     |             |         |ME       |       |        |
     |_____________|_________|_________|_______|________|
     |消息队列漏洞 |远程执行 |非紧急   |重要   |重要    |
     |CAN-2005-0059|代码     |         |       |        |
     |_____________|_________|_________|_______|________|
    
     - 临时解决方案:

    * 在防火墙阻断以下端口:
    
      UDP 135,137,138,445,1801和3527端口,及TCP 135,139,445,593,1801,
      2101,2103,2105和2107端口
      
      大于1024端口上所有未经请求的流入通讯

      所有其他没有明确配置的RPC端口

    * 如果不需要的话删除消息队列
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
    http://www.microsoft.com/technet/security/Bulletin/MS05-017.mspx
    
3.  MS05-018 Windows Kernel中的漏洞可能允许权限提升和拒绝服务

    - 受影响系统:
        
    Microsoft Windows 2000 Service Pack 3和Microsoft Windows 2000 Service
    Pack 4
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
    Microsoft Windows XP 64-Bit Edition 2003版(Itanium)
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 for Itanium-based Systems
    Microsoft Windows 98,Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)
    
    - 不受影响系统:
    
    Microsoft Windows Server 2003 Service Pack 1
    Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
    Microsoft Windows Server 2003 x64 Edition
    Microsoft Windows XP Professional x64 Edition
      
    - 漏洞危害: 权限提升
    - 严重程度: 中
    - 漏洞描述:

    Windows中的漏洞可能允许攻击者完全控制受影响的系统。如果要利用这个漏洞,
    攻击者必须拥有有效的凭据并能够本地登陆到受影响的系统。
          
    风险级别和漏洞标识
     ______________________________________________________________________
     |漏洞标识     |漏洞影响 |Windows  |Windows|Windows |Windows |Windows |
     |             |         |98,98 SE,|2000   |XP SP1  |XP SP2  |Server  |
     |             |         |ME       |       |        |        |2003    |
     |_____________|_________|_________|_______|________|________|________|
     |字体漏洞     |权限提升 |非紧急   |重要   |重要    |中      |重要    |
     |CAN-2005-0060|         |         |       |        |        |        |
     |_____________|_________|_________|_______|________|________|________|
     |WindowsKernel|         |         |       |        |        |        |
     |漏洞         |权限提升 |无       |重要   |重要    |重要    |重要    |
     |CAN-2005-0061|         |         |       |        |        |        |
     |_____________|_________|_________|_______|________|________|________|
     |对象管理漏洞 |拒绝服务 |非紧急   |中     |中      |中      |中      |
     |CAN-2005-0550|         |         |       |        |        |        |
     |_____________|_________|_________|_______|________|________|________|
     |CSRSS漏洞    |权限提升 |无       |重要   |重要    |重要    |重要    |
     |CAN-2005-0551|         |         |       |        |        |        |
     |_____________|_________|_________|_______|________|________|________|
     |所有漏洞总体 |         |非紧急   |重要   |重要    |重要    |重要    |
     |风险级别     |         |         |       |        |        |        |
     |_____________|_________|_________|_______|________|________|________|
      
    - 临时解决方案:
    
    无

    - 厂商补丁:                

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
     http://www.microsoft.com/technet/security/Bulletin/MS05-018.mspx
    
4.  MS05-019 TCP/IP中的漏洞可能允许远程执行代码和拒绝服务

    - 受影响系统:
        
    Microsoft Windows 2000 Service Pack 3和Microsoft Windows 2000 Service
    Pack 4
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
    Microsoft Windows XP 64-Bit Edition 2003版(Itanium)
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 for Itanium-based Systems
    Microsoft Windows 98,Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)
    
    - 不受影响系统:
    
    Microsoft Windows Server 2003 Service Pack 1
    Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
    Microsoft Windows Server 2003 x64 Edition
    Microsoft Windows XP Professional x64 Edition
  
    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    Windows中的漏洞可能允许攻击者完全控制受影响的系统。
    
    风险级别和漏洞标识
     ______________________________________________________________________
     |漏洞标识     |漏洞影响 |Windows  |Windows|Windows |Windows |Windows |
     |             |         |98,98 SE,|2000   |XP SP1  |XP SP2  |Server  |
     |             |         |ME       |       |        |        |2003    |
     |_____________|_________|_________|_______|________|________|________|
     |IP验证漏洞   |远程执行 |非紧急   |紧急   |紧急    |无      |无      |
     |CAN-2005-0048|代码     |         |       |        |        |        |
     |_____________|_________|_________|_______|________|________|________|
     |ICMP连接重置 |         |         |       |        |        |        |
     |漏洞         |拒绝服务 |非紧急   |中     |中      |中      |中      |
     |CAN-2004-0790|         |         |       |        |        |        |
     |_____________|_________|_________|_______|________|________|________|
     |ICMP路径MTU  |         |         |       |        |        |        |
     |漏洞         |拒绝服务 |非紧急   |中     |中      |中      |中      |
     |CAN-2004-1060|         |         |       |        |        |        |
     |_____________|_________|_________|_______|________|________|________|
     |TCP连接重置  |         |         |       |        |        |        |
     |漏洞         |拒绝服务 |非紧急   |低     |低      |无      |低      |
     |CAN-2004-0230|         |         |       |        |        |        |
     |_____________|_________|_________|_______|________|________|________|
     |欺骗连接请求 |         |         |       |        |        |        |
     |漏洞         |拒绝服务 |无       |无     |无      |低      |低      |
     |CAN-2005-0688|         |         |       |        |        |        |
     |_____________|_________|_________|_______|________|________|________|
     |所有漏洞总体 |         |非紧急   |紧急   |紧急    |中      |中      |
     |风险级别     |         |         |       |        |        |        |
     |_____________|_________|_________|_______|________|________|________|
      
    - 临时解决方案:
    
    * 使用个人防火墙,如Windows XP Service Pack 1捆绑的Internet连接防火墙。
    * 在防火墙或路由器阻断所有ICMP网络报文
    * 在受影响系统使用IPSec阻断ICMP通讯
    * 禁用Path MTU Discovery
  
    - 厂商补丁:                

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
     http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspx

5.  MS05-020 Internet Explorer累积补丁

    - 受影响系统:
        
    Microsoft Windows 2000 Service Pack 3和Microsoft Windows 2000 Service
    Pack 4
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
    Microsoft Windows XP 64-Bit Edition 2003版(Itanium)
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 for Itanium-based Systems
    Microsoft Windows 98,Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)
    
    - 受影响组件:

    Microsoft Windows 2000 Service Pack 3上的Internet Explorer 5.01 Service
    Pack 3
    Microsoft Windows 2000 Service Pack 4上的Internet Explorer 5.01 Service
    Pack 4  
    Microsoft Windows Millennium Edition上的Internet Explorer 5.5 Service
    Pack 2  
    Microsoft Windows 2000 Service Pack 3,Microsoft Windows 2000 Service
    Pack 4或Microsoft Windows XP Service Pack 1上的Internet Explorer 6 Service
    Pack 1
    Microsoft Windows 98,Microsoft Windows 98 SE或Microsoft Windows Millennium
    Edition上的Internet Explorer 6 Service Pack 1
    Internet Explorer 6 Service Pack 1 for Microsoft Windows XP 64-Bit Edition
    Service Pack 1 (Itanium)
    Internet Explorer 6 for Microsoft Windows Server 2003
    Internet Explorer 6 for Microsoft Windows Server 2003 for Itanium-based
    Systems和Microsoft Windows XP 64-Bit Edition 2003版(Itanium)
    Internet Explorer 6 for Microsoft Windows XP Service Pack 2
    
    - 不受影响系统:
    
    Microsoft Windows Server 2003 Service Pack 1
    Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
    Microsoft Windows Server 2003 x64 Edition
    Microsoft Windows XP Professional x64 Edition
    
    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    Internet Explorer中的漏洞可能允许攻击者完全控制受影响的系统。

    风险级别和漏洞标识
_____________________________________________________________________________
|             |       |Internet |Windows ME|Internet  |Internet   |Internet  |
|漏洞标识     |漏洞   |Explorer |上的      |Explorer 6|Explorer 6 |Explorer 6|    
|             |影响   |5.01 SP3 |Internet  |SP1(所有  |for Windows|forWindows|
|             |       |和SP4    |Explorer  |Windows   |Server 2003|XP SP2    |
|             |       |         |5.5 SP2   |Server2003|           |          |
|             |       |         |          |之前版本  |           |          |
|_____________|_______|_________|__________|__________|___________|__________|
|DHTML对象内存|       |         |          |          |           |          |
|破坏漏洞     |远程执 |紧急     |紧急      |紧急      |重要       |紧急      |
|CAN-2005-0553|行代码 |         |          |          |           |          |
|_____________|_______|_________|__________|__________|___________|__________|
|URL解析内存  |       |         |          |          |           |          |
|破坏漏洞     |远程执 |紧急     |紧急      |紧急      |紧急       |紧急      |
|CAN-2005-0554|行代码 |         |          |          |           |          |
|_____________|_______|_________|__________|__________|___________|__________|
|内容顾问内存 |       |         |          |          |           |          |
|破坏漏洞     |远程执 |中等     |中等      |中等      |中等       |中等      |
|CAN-2005-0555|行代码 |         |          |          |           |          |
|_____________|_______|_________|__________|__________|___________|__________|
|所有漏洞总体 |       |         |          |          |           |          |
|风险级别     |       |紧急     |紧急      |紧急      |紧急       |紧急      |
|_____________|_______|_________|__________|__________|___________|__________|

    - 临时解决方案:

    * 在Internet和本地intranet安全区中运行ActiveX控件和活动脚本前将安全区设
      置为“高”以提示。
    * 将Web站点仅限为可信任的Web站点。
    * 如果在使用Outlook Express 5.5 SP2的话,安装Microsoft安全公告MS04-018
      中所述的更新。
    * 如果您在运行Outlook 2002或之后版本,或Outlook Express 6 SP1或之后版本
      的话,以纯文本格式阅读邮件消息以防范HTML e-mail攻击。
    * 不要打开或保存不可信任来源的内容等级文件(.rat文件),或阻断该文件。
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
    http://www.microsoft.com/technet/security/Bulletin/MS05-020.mspx
    
6.  MS05-021 Microsoft Exchange Server中的漏洞可能允许远程执行代码

    - 受影响软件:
        
    Microsoft Exchange 2000 Server Service Pack 3  
    Microsoft Exchange Server 2003
    Microsoft Exchange Server 2003 Service Pack 1
    
    - 不受影响软件:
    
    Microsoft Exchange Server 5.5 Service Pack 4
    Microsoft Exchange Server 5.0 Service Pack 2
      
    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    Microsoft Exchange Server中的漏洞可能允许远程执行任意代码。
      
    风险级别和漏洞标识
_____________________________________________________________________
|漏洞标识       |漏洞影响|Exchange 2000 Server |Exchange Server 2003  |
|_______________|________|_____________________|______________________|
|Exchange Server|        |                     |                      |
|漏洞           |远程执行|                     |                      |
|CAN-2005-0560  |代码    |       紧急          |   中                 |
|_______________|________|_____________________|______________________|
    
    - 临时解决方案:
          
    * 使用SMTP协议检查过滤掉SMTP协议扩展    
    * 仅接受通过认证的SMTP会话    
    * 使用防火墙阻断SMTP使用的端口    
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
    http://www.microsoft.com/technet/security/Bulletin/MS05-021.mspx
    
7.  MS05-022 - MSN Messenger中的漏洞可能导致远程执行代码

    - 受影响系统:
        
    MSN Messenger 6.2

    - 不受影响系统:
    
    MSN Messenger 7.0
      
    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    MSN Messenger中的漏洞可能允许攻击者执行任意代码。

  风险级别和漏洞标识

      _________________________________
     |漏洞标识     |漏洞影响 |MSN      |
     |             |         |Messenger|
     |             |         |6.2      |
     |_____________|_________|_________|          
     |MSN Messenger|         |         |  
     |漏洞         |远程执行 | 紧急    |  
     |CAN-2005-0562|代码     |         |            
     |_____________|_________|_________|
    
    - 临时解决方案:
    
    * 检查当前联系人列表中的所有联系人,删除或阻止不认识,不信任或不再需要
      的联系人。
    * 不要同意不知道或不信任联系人的文件传输。
    * 在公司环境中阻断对MSN Messenger和Web Messenger的访问。
    * 在公司环境中阻断对1863端口的访问。
    * 阻断对gateway.messenger.hotmail.com的HTTP访问。    
    
    - 厂商补丁:                

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
     http://www.microsoft.com/downloads/details.aspx?FamilyId=12750556-D4D0-42D6-9F05-1FF3C799BB10
          
8.  MS05-023 Microsoft Word 的漏洞可能允许远程执行代码

    - 受影响系统:
    
    Microsoft Word 2000和Microsoft Works Suite 2001
    Microsoft Word 2002,Microsoft Works Suite 2002,Microsoft Works Suite
    2003和Microsoft Works Suite 2004
    Microsoft Office Word 2003
      
    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    Microsoft Word中的漏洞可能允许攻击者完全控制受影响的系统。

    风险级别和漏洞标识
  
      __________________________________________________
     |漏洞标识     |漏洞影响 |Word   |Word    |Word    |
     |             |         |2000   |2002    |2003    |
     |_____________|_________|_______|________|________|
     |MicrosoftWord|         |       |        |        |
     |缓冲区溢出   |远程执行 |紧急   |紧急    |重要    |
     |CAN-2004-0963|代码     |       |        |        |
     |             |权限提升 |       |        |        |
     |_____________|_________|_______|________|________|
     |MicrosoftWord|         |       |        |        |
     |缓冲区溢出   |远程执行 |紧急   |紧急    |重要    |
     |CAN-2005-0558|代码     |       |        |        |
     |             |权限提升 |       |        |        |
     |_____________|_________|_______|________|________|
     |所有漏洞总体 |         |       |        |        |
     |风险级别     |         |紧急   |紧急    |重要    |
     |_____________|_________|_______|________|________|
    
    - 临时解决方案:

    * 不要打开未知或不可信任来源的Microsoft Word文档。
    * 启用Office文档提示,这样不会自动打开。    
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
    http://www.microsoft.com/technet/security/Bulletin/MS05-023.mspx

附加信息:
==========
1. http://www.microsoft.com/technet/security/Bulletin/MS05-016.mspx
2. http://www.microsoft.com/technet/security/Bulletin/MS05-017.mspx
3. http://www.microsoft.com/technet/security/Bulletin/MS05-018.mspx
4  http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspx
5. http://www.microsoft.com/technet/security/Bulletin/MS05-020.mspx
6. http://www.microsoft.com/technet/security/Bulletin/MS05-021.mspx
7. http://www.microsoft.com/technet/security/Bulletin/MS05-022.mspx
8. http://www.microsoft.com/technet/security/Bulletin/MS05-023.mspx
9. http://www.microsoft.com/technet/security/bulletin/ms05-apr.mspx

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技