首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2006-02)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布2006年2月份安全公告 修复多个严重安全漏洞

发布日期:2006-02-17


综述:
======
微软刚刚发布了7个安全公告,这些公告描述并修复了7个安全漏洞,其中2个漏洞属于“紧急”风险级别。攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,并按照我们提供的解决方法予以解决。

分析:
======
微软刚刚发布了7个最新的安全公告: MS06-004到MS06-010。这些安全公告分别描述了7个安全问题,分别是有关各版本的Microsoft Windows,Internet Explorer,Office 2003和Windows Media Player的漏洞。

1.  MS06-004 - Internet Explorer累积安全更新(910620)

    - 受影响系统:
    
    Microsoft Windows 2000 Service Pack 4
    
    - 受影响组件:
    
    Microsoft Windows 2000 Service Pack 4上的Internet Explorer 5.01 Service
    Pack 4  
    
    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    图形渲染引擎中的漏洞可能允许远程执行代码。

    风险级别和漏洞标识
__________________________________________________________________
|             |       |Internet |Internet  |Internet   |Internet  |
|漏洞标识     |漏洞   |Explorer |Explorer 6|Explorer 6 |Explorer 6|    
|             |影响   |5.01 SP4 |SP1(所有  |for Windows|forWindows|
|             |       |         |Windows   |Server 2003|XP SP2    |
|             |       |         |Server2003|和Server   |          |
|             |       |         |之前版本) |2003 SP1   |          |
|_____________|_______|_________|__________|___________|__________|
|WMF图形解析  |       |         |          |           |          |
|内存破坏漏洞 |远程执 |紧急     |无        |无         |无        |
|CVE-2006-0020|行代码 |         |          |           |          |
|_____________|_______|_________|__________|___________|__________|

    - 临时解决方案:

    无
              
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:

    http://www.microsoft.com/downloads/details.aspx?FamilyId=C0DF2FC3-2075-46B5-945F-6E0BD6806151
    
2.  MS06-005 - Windows Media Player中的漏洞可能允许远程执行代码(911565)

    - 受影响系统:
    
    Microsoft Windows XP Service Pack 1上的Windows Media Player for XP
    Microsoft Windows XP Service Pack 2上的Windows Media Player 9
    Microsoft Windows Server 2003上的Windows Media Player 9
    Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)
    
   - 受影响组件:
  
   安装在Windows 2000 Service Pack 4上的Microsoft Windows Media Player 7.1
   安装在Windows 2000 Service Pack 4或Windows XP Service Pack 1上的Microsoft
   Windows Media Player 9
   安装在Windows XP Service Pack 1或Windows XP Service Pack 2上的Microsoft
   Windows Media Player 10
    
    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    Windows Media Player处理位图文件的方式存在远程代码执行漏洞。攻击者可以
    创建恶意的位图文件(.bmp),如果用户访问了恶意的站点或浏览了恶意的邮件
    消息的话就会导致执行任意代码。

    风险级别和漏洞标识
     ________________________________________________________________________________________
     |漏洞标识     |漏洞影响 |安装在       |Microsoft   |安装在Windows|Microsoft  |安装在    |
     |             |         |Windows 98,  |Windows XP  |98,98 SE,ME, |Windows XP |Windows XP|
     |             |         |98 SE,ME,    |SP1上的     |Windows 2000 |SP2或      |SP1或     |
     |             |         |Windows 2000 |Microsoft   |SP4,Windows  |Windows    |Windows XP|
     |             |         |SP4上的      |Windows     |XP SP1上的   |Server 2003|SP2上的   |
     |             |         |Microsoft    |Media Player|Microsoft    |上的Windows|Microsoft |
     |             |         |Windows Media|for XP      |Windows      |Media      |Windows   |
     |             |         |Player 7.1   |            |Media        |Player 9   |Media     |
     |             |         |             |            |Player 9     |           |Player 10 |
     |_____________|_________|_____________|____________|_____________|___________|__________|
     |Windows Media|         |             |            |             |           |          |
     |Player漏洞   |远程执行 |重要         |重要        | 紧急        | 紧急      | 紧急     |
     |CVE-2006-0006|代码     |             |            |             |           |          |
     |_____________|_________|_____________|____________|_____________|___________|__________|
    
    - 临时解决方案:
    
    * 备份并删除WMZ注册表项
    * 在DirectX "Filter Graph no thread"注册表项修改访问控制列表
    * 备份并删除DirectX "Filter Graph no thread"注册表项
    * 注销Quartz.dll
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
    http://www.microsoft.com/downloads/details.aspx?FamilyId=26A0B9E1-1242-4E55-B3D4-8377B83257C6
    http://www.microsoft.com/downloads/details.aspx?FamilyId=8F9EEF16-04F7-4DA8-A0EF-1797B52D0B4B
    http://www.microsoft.com/downloads/details.aspx?FamilyId=8F9EEF16-04F7-4DA8-A0EF-1797B52D0B4B
    
3.  MS06-006 - 非Microsoft Internet浏览器的Windows Media Player插件中的漏洞
    可能允许远程执行代码(911564)

    - 受影响系统:
    
    Microsoft Windows 2000 Service Pack 4
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service Pack 1
    Microsoft Windows XP Professional x64 Edition
    Microsoft Windows Server 2003 x64 Edition
    
    - 漏洞危害: 远程执行代码
    - 严重程度: 重要
    - 漏洞描述:

    非Microsoft Internet浏览器的Windows Media Player插件在处理畸形EMBED单元
    时存在远程代码执行漏洞。攻击者可以创建恶意的EMBED单元,如果用户访问了恶
    意的Web站点的话就会远程执行代码。

    风险级别和漏洞标识
     __________________________________________________________
     |漏洞标识      |漏洞影响 |Windows  |Windows|Windows Server|
     |              |         |2000 SP4 |XP SP1 |2003和2003 SP1|
     |              |         |         |和SP2  |              |
     |______________|_________|_________|_______|______________|
     |Windows Media |         |         |       |              |
     |Player插件漏洞|远程执行 |重要     |重要   |重要          |
     |CAN-2005-1985 |代码     |         |       |              |
     |______________|_________|_________|_______|______________|
    
    - 临时解决方案:
    
    * 修改对Npdsplay.dll文件的访问控制列表

    - 厂商补丁:                

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
     http://www.microsoft.com/technet/security/Bulletin/MS06-006.mspx
    
4.  MS06-007 - TCP/IP中的漏洞可能导致拒绝服务(913446)

    - 受影响系统:
    
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    Microsoft Windows XP Professional x64 Edition
    Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service Pack 1
    Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows
    Server 2003 with SP1 for Itanium-based Systems
    Microsoft Windows Server 2003 x64 Edition
    
    - 漏洞危害: 拒绝服务
    - 严重程度: 重要
    - 漏洞描述:

    攻击者可以向受影响系统发送特制IGMP报文导致拒绝服务。

    风险级别和漏洞标识
     ___________________________________________________________
     |漏洞标识     |漏洞影响 |Windows|Windows |Windows |Windows |
     |             |         |XP SP1 |XP SP2  |Server  |Server  |
     |             |         |       |        |2003    |2003 SP1|
     |_____________|_________|_______|________|________|________|
     |IGMP v3拒绝  |         |       |        |        |        |
     |服务漏洞     |拒绝服务 |重要   |重要    |重要    |重要    |
     |CAN-2006-0021|         |       |        |        |        |
     |_____________|_________|_______|________|________|________|
    
    - 临时解决方案:

    * 禁用IGMP
    * 在防火墙或路由器阻断所有IGMP网络报文        
  
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:

    http://www.microsoft.com/technet/security/Bulletin/MS06-007.mspx
    
5.  MS06-008 -  Web Client服务中的漏洞可能允许执行远程代码(911927)

    - 受影响系统:
    
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    Microsoft Windows XP Professional x64 Edition
    Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service Pack 1
    Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows
    Server 2003 with SP1 for Itanium-based Systems
    Microsoft Windows Server 2003 x64 Edition

    - 漏洞危害: 远程执行代码
    - 严重程度: 重要
    - 漏洞描述:

    Windows处理Web Client请求方式中的漏洞可能允许攻击者完全控制受影响的系统。
    
    风险级别和漏洞标识
     ___________________________________________________________
     |漏洞标识     |漏洞影响 |Windows|Windows |Windows |Windows |
     |             |         |XP SP1 |XP SP2  |Server  |Server  |
     |             |         |       |        |2003    |2003 SP1|
     |_____________|_________|_______|________|________|________|
     |Web Client   |         |       |        |        |        |
     |漏洞         |远程执行 |重要   |重要    |中等    |中等    |
     |CAN-2006-0013|代码     |       |        |        |        |
     |_____________|_________|_______|________|________|________|
    
    - 临时解决方案:

    * 禁用Web Client服务
    * 使用组策略设置在所有不需要这个功能的受影响系统上禁用WebClient服务
    * 在防火墙阻断TCP 139和445端口
    * 使用个人防火墙,如Windows XP和Windows Server 2003捆绑的Internet连接防
    火墙
    * 在支持的系统上启用高级TCP/IP过滤功能
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
    http://www.microsoft.com/technet/security/Bulletin/MS06-008.mspx
    
6.  MS06-009 - 韩语输入法编辑器中的漏洞可能允许权限提升(901190)

    - 受影响系统:
    
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    Microsoft Windows XP Professional x64 Edition
    Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service Pack 1
    Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows
    Server 2003 with SP1 for Itanium-based Systems
    Microsoft Windows Server 2003 x64 Edition
    Microsoft Office 2003软件:
      Microsoft Office 2003 Service Pack 1和Service Pack 2
      Microsoft Office 2003 Multilingual User Interface Packs
      Microsoft Office Visio 2003 Multilingual User Interface Packs
      Microsoft Office Project 2003 Multilingual User Interface Packs
      Microsoft Office 2003 Proofing Tools
      Microsoft Office Visio 2003
      Microsoft Office OneNote 2003
      Microsoft Office Project 2003
        
    - 漏洞危害: 权限提升
    - 严重程度: 重要
    - 漏洞描述:

    Windows和Office韩语输入法编辑器(IME)中存在权限提升漏洞,可能允许恶意
    用户完全控制受影响系统。但攻击者必须能够交互的登录到受影响系统才能利用
    这个漏洞。

    风险级别和漏洞标识
     _____________________________________________________________________
     |漏洞标识     |漏洞影响 |Microsoft|Windows|Windows |Windows |Windows |
     |             |         |Office   |XP SP1 |XP SP2  |Server  |Server  |
     |             |         |2003软件 |       |        |2003    |2003 SP1|
     |_____________|_________|_________|_______|________|________|________|
     |             |         |         |       |        |        |        |
     |韩语IME漏洞  |权限提升 |重要     |重要   |重要    |重要    |重要    |
     |CVE-2006-0008|         |         |       |        |        |        |
     |_____________|_________|_________|_______|________|________|________|
    
    - 临时解决方案:
    
    * 如果不需要的话,禁用终端服务、远程桌面、远程协助和Windows Small Business
      Server 2003 Remote Web Workplace
    * 在企业边界防火墙阻断TCP 3389端口
    * 使用IPsec策略确保远程桌面连接安全
    * 使用虚拟专用网(VPN)连接确保远程桌面连接安全
    
    - 厂商补丁:                

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
     http://www.microsoft.com/technet/security/Bulletin/MS06-009.mspx

7.  MS06-010 - PowerPoint 2000中的漏洞可能允许信息泄漏(889167)

    - 受影响系统:
    
    Microsoft Office 2000 Service Pack 3
        PowerPoint 2000

    - 漏洞危害: 信息泄漏
    - 严重程度: 重要
    - 漏洞描述:

    PowerPoint中的信息泄漏漏洞允许攻击者通过名称远程尝试访问临时Internet文
    件文件夹(TIFF)中的对象。
    
    风险级别和漏洞标识
     ______________________________________________
     |漏洞标识               |漏洞影响 |Microsoft |
     |                       |         |PowerPoint|
     |                       |         |2000      |
     |_______________________|_________|__________|
     |PowerPoint临时Internet |         |          |
     |文件信息泄漏漏洞       |信息泄漏 | 重要     |
     |CVE-2006-0004          |         |          |
     |_______________________|_________|__________|
    
    - 临时解决方案:

    * 备份并删除vnd.ms-powerpoint MIME类型
    * 配置Internet Explorer在适当的Office程序而不是Internet Explorer中打开
      Office文档
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
    http://www.microsoft.com/downloads/details.aspx?familyid=E51B27C8-2F31-4E99-B868-CE626FED5B7D

附加信息:
==========
1. http://www.microsoft.com/technet/security/Bulletin/MS06-004.mspx
2. http://www.microsoft.com/technet/security/Bulletin/MS06-005.mspx
3. http://www.microsoft.com/technet/security/Bulletin/MS06-006.mspx
4. http://www.microsoft.com/technet/security/Bulletin/MS06-007.mspx
5. http://www.microsoft.com/technet/security/Bulletin/MS06-008.mspx
6. http://www.microsoft.com/technet/security/Bulletin/MS06-009.mspx
7. http://www.microsoft.com/technet/security/Bulletin/MS06-010.mspx
8. http://www.microsoft.com/technet/security/bulletin/ms06-feb.mspx
9. http://www.us-cert.gov/cas/techalerts/TA06-045A.html

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技