首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2008-02)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布2月份安全公告 修复多个严重安全漏洞

发布日期:2008-02-14


综述:
======
微软发布了2月份的11篇安全公告,这些公告描述并修复了17个安全漏洞,其中10个漏
洞属于“紧急”风险级别。攻击者利用这些漏洞可能远程入侵并完全控制客户端系统。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,
并按照我们提供的解决方法予以解决。

分析:
======
微软发布了2月份的11篇最新的安全公告:MS08-003到MS08-013。这些安全公告分别描
述了17个安全问题,分别是有关各版本的Microsoft Windows、Office和IE等产品中的
漏洞。

1. MS08-003 - 活动目录中的漏洞可能导致拒绝服务(946538)

    - 受影响软件:
    
    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系统)以及Windows Server 2003
    SP2(用于基于Itanium的系统)
                  
    - 漏洞描述:

    由于没有正确的验证特制的LDAP请求,Microsoft Windows 2000和Windows Server
    2003上的活动目录实现存在拒绝服务漏洞;此外Windows XP和Windows Server 2003
    上所安装的活动目录应用模式(ADAM)实现也存在这个漏洞。成功利用这个漏洞
    的攻击者可能导致计算机停止响应并自动重启。
    
    风险级别和漏洞标识
__________________________________________________
|受影响软件       |活动目录漏洞     |总体风险级别 |
|                 |CVE-2008-0088    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows 2000     |重要             | 重要        |
|SP4上的活动目录  |拒绝服务         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |中等             | 中等        |
|SP2上安装的ADAM  |拒绝服务         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |中等             | 中等        |
|x64版和XP Pro SP2|拒绝服务         |             |
|上的ADAM         |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |中等             | 中等        |
|2003 SP1和Windows|拒绝服务         |             |
|Server 2003 SP2  |                 |             |
|上的活动目录     |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |中等             | 中等        |
|2003 SP1和Windows|拒绝服务         |             |
|Server 2003 SP2  |                 |             |
|上安装的ADAM     |                 |             |
|_________________|_________________|_____________|
|Windows Server   |中等             | 中等        |
|2003 x64版和     |拒绝服务         |             |
|Windows Server   |                 |             |
|2003 x64版SP2上的|                 |             |
|活动目录         |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |中等             | 中等        |
|2003 x64版和     |拒绝服务         |             |
|Windows Server   |                 |             |
|2003 x64版SP2上安|                 |             |
|装的ADAM         |                 |             |
|_________________|_________________|_____________|
|Windows Server   |中等             | 中等        |
|2003 for         |拒绝服务         |             |
|Itanium-based    |                 |             |
|Systems和Windows |                 |             |
|Server 2003 with |                 |             |
|SP1 for Itanium- |                 |             |
|based Systems上的|                 |             |
|活动目录         |                 |             |
|_________________|_________________|_____________|                    
          
    - 临时解决方案:

    * 在周边防火墙阻断TCP 389和3268端口
    * 在受影响的系统上使用IPSec阻断受影响的端口
                          
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-003.mspx
    
2. MS08-004 - Windows TCP/IP中的漏洞可能导致拒绝服务(946456)

    - 受影响系统:
    
    Windows Vista
    Windows Vista x64 Edition
    
    - 漏洞描述:
    
    Windows Vista的TCP/IP栈处理从DHCP服务器接收到报文的方式存在拒绝服务漏洞。
    攻击者可以创建特制的DHCP服务器,该服务器会向主机返回特制报文,破坏TCP/IP
    结构,导致受影响系统停止响应并自动重启。

    风险级别和漏洞标识
__________________________________________________
|受影响软件       |Vista TCP/IP漏洞 |总体风险级别 |
|                 |CVE-2008-0084    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Vista    |重要             | 重要        |
|                 |拒绝服务         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Vista    |重要             | 重要        |
|x64 Edition      |拒绝服务         |             |
|_________________|_________________|_____________|
    
    - 临时解决方案:
    
    * 为客户端机器分配静态的IP地址而不是自动请求IP地址:
    
    1. 在客户端机器上,点击“控制面板”,然后点击“网络和共享中心”
    2. “本地连接”然后点击“查看状态”
    3. 点击“属性”
    4. 点击“Internet协议版本4(TCP/IPv4)”然后点击“属性”
    5. 选择“使用下面的IP地址”然后输入IP地址、子网掩码、默认网关和首选DNS服
       务器
    6. 点击“确定”
  
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/downloads/details.aspx?familyid=8ce9608b-7049-47cd-adc4-22a803877d33
    http://www.microsoft.com/downloads/details.aspx?familyid=d7b9c3d1-9c23-4e05-bac6-d0b327feaf53

3. MS08-005 - Internet信息服务中的漏洞可能导致权限提升(942831)

    - 受影响软件:
    
    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系统)以及Windows Server 2003
    SP2(用于基于Itanium的系统)
    Windows Vista
    Windows Vista x64 Edition
                  
    - 漏洞描述:

    Internet信息服务处理FTPRoot、NNTPFile\Root和WWWRoot文件夹中文件变化通知
    的方式存在本地权限提升漏洞,成功利用这个漏洞的攻击者可以在本地系统安全
    环境中执行任意代码。
    
    风险级别和漏洞标识
__________________________________________________
|受影响软件       |文件更改通知漏洞 |总体风险级别 |
|                 |CVE-2008-0074    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows 2000     |重要             | 重要        |
|SP4上的IIS 5.0   |权限提升         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |重要             | 重要        |
|SP2上的IIS 5.1   |权限提升         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |重要             | 重要        |
|x64版和x64版SP2  |权限提升         |             |
|上的IIS 5.1      |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |重要             | 重要        |
|2003 SP1和Windows|权限提升         |             |
|Server 2003 SP2  |                 |             |
|上的IIS 6.0      |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 x64版和     |重要             | 重要        |
|Windows Server   |权限提升         |             |
|2003 x64版SP2上的|                 |             |
|IIS 6.0          |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 with SP1 for|重要             | 重要        |
|Itanium-based    |权限提升         |             |
|Systems和Windows |                 |             |
|Server 2003 with |                 |             |
|SP2 for Itanium- |                 |             |
|based Systems上的|                 |             |
|IIS 6.0          |                 |             |
|_________________|_________________|_____________|                    
|Windows Vista上的|重要             | 重要        |
|IIS 7.0          |权限提升         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Vista    |重要             | 重要        |
|x64 Edition上的  |权限提升         |             |
|IIS 7.0          |                 |             |
|_________________|_________________|_____________|
          
    - 临时解决方案:

    * 在Windows Server 2003上停止FTP和NNTP服务:
      
      net stop msftpsvc
      net stop nntpsvc

    * 对于用于执行用户控制ASP页面的帐号,拒绝对NNTP root、FTP root和WWW root
    文件夹的写访问:
    
    cacls c:\inetpub\ftproot /E /P IUSR_WS2003ENTSP1:R
    cacls c:\inetpub\ftproot /E /P USERS:R
    cacls c:\inetpub\nntpfile\root /E /P "ANONYMOUS LOGON":R
    cacls c:\inetpub\nntpfile\root /E /P EVERYONE:R                      
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-005.mspx

4. MS08-006 - Internet信息服务中的漏洞可能导致远程代码执行(942830)

    - 受影响软件:
    
    Windows XP Professional Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系统)以及Windows Server 2003
    SP2(用于基于Itanium的系统)
                  
    - 漏洞描述:

    Internet信息服务处理ASP网页输入的方式存在远程代码执行漏洞,允许攻击者向
    网站的ASP页面传送恶意输入。成功利用这个漏洞的攻击者可以在IIS服务器上以WPI
    的权限(默认配置为网络服务帐号权限)执行任意操作。
    
    风险级别和漏洞标识
__________________________________________________
|受影响软件       |ASP漏洞          |总体风险级别 |
|                 |CVE-2008-0075    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |重要             | 重要        |
|SP2上的IIS 5.1   |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |重要             | 重要        |
|x64版和x64版SP2  |远程代码执行     |             |
|上的IIS 6.0      |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |重要             | 重要        |
|2003 SP1和Windows|远程代码执行     |             |
|Server 2003 SP2  |                 |             |
|上的IIS 6.0      |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 x64版和     |重要             | 重要        |
|Windows Server   |远程代码执行     |             |
|2003 x64版SP2上的|                 |             |
|IIS 6.0          |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 with SP1 for|重要             | 重要        |
|Itanium-based    |远程代码执行     |             |
|Systems和Windows |                 |             |
|Server 2003 with |                 |             |
|SP2 for Itanium- |                 |             |
|based Systems上的|                 |             |
|IIS 6.0          |                 |             |
|_________________|_________________|_____________|                    

    - 临时解决方案:

    * 在Windows Server 2003上禁用传统风格ASP:
    
    1. 点击“开始”、“管理工具”、“Internet信息服务(IIS)管理器”
    2. 点击服务器名称边的加号,然后点击“Web服务扩展”文件夹
    3. 在右侧栏中点击高亮选择“Active Server Pages”然后点击“禁止”  
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-006.mspx

5. MS08-007 - WebDAV Mini-Redirector中的漏洞可能允许远程代码执行(946026)

    - 受影响软件:
    
    Windows XP Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系统)以及Windows Server 2003
    SP2(用于基于Itanium的系统)
    Windows Vista
    Windows Vista x64 Edition
                  
    - 漏洞描述:

    WebDAV Mini-Redirector(又被称为Web客户端服务)处理特制响应的方式存在堆
    溢出漏洞。如果远程攻击者发送了特制的WebDAV响应的话,就可能触发这个溢出,
    导致完全控制受影响的系统。
    
    风险级别和漏洞标识
__________________________________________________
|受影响软件       |Mini-Redirector  |总体风险级别 |
|                 |堆溢出漏洞       |             |
|                 |CVE-2008-0080    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP SP2   |紧急             | 紧急        |
|                 |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |紧急             | 紧急        |
|x64版和x64版SP2  |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |重要             | 重要        |
|2003 SP1和Windows|远程代码执行     |             |
|Server 2003 SP2  |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 x64版和     |重要             | 重要        |
|Windows Server   |远程代码执行     |             |
|2003 x64版SP2    |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 with SP1 for|重要             | 重要        |
|Itanium-based    |远程代码执行     |             |
|Systems和Windows |                 |             |
|Server 2003 with |                 |             |
|SP2 for Itanium- |                 |             |
|based Systems    |                 |             |
|_________________|_________________|_____________|                    
|Windows Vista    |紧急             | 紧急        |
|                 |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Vista    |紧急             | 紧急        |
|x64 Edition      |远程代码执行     |             |
|_________________|_________________|_____________|
          
    - 临时解决方案:

    * 禁用Web客户端服务:
    
    1. 点击“开始”、“运行”,键入Services.msc,然后点击“确定”
    2. 右击WebClient服务然后选择“属性”
    3. 将启动类型更改为“禁用”。如果服务仍在运行,点击“停止”
    4. 点击“确定”然后退出              
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-007.mspx

6. MS08-008 - OLE自动化中的漏洞可能允许远程代码执行(947890)

    - 受影响软件:
    
    Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系统)以及Windows Server 2003
    SP2(用于基于Itanium的系统)
    Windows Vista
    Windows Vista x64 Edition
    Microsoft Office 2004 for Mac
    Microsoft Visual Basic 6.0 Service Pack 6
                  
    - 漏洞描述:

    对象链接和嵌入(OLE)自动化处理特制脚本请求的方式存在堆溢出漏洞。如果用
    户受骗访问了恶意站点的话,就可能触发这个溢出,导致以登录用户的权限对系
    统进行更改。如果用户以管理权限登录的话,攻击者就可以完全控制受影响的系
    统。
    
    风险级别和漏洞标识
__________________________________________________
|受影响软件       |OLE堆溢出漏洞    |总体风险级别 |
|                 |CVE-2007-0065    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows 2000     |紧急             | 紧急        |
|SP4              |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP SP2   |紧急             | 紧急        |
|                 |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |紧急             | 紧急        |
|x64版和x64版SP2  |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |中等             | 中等        |
|2003 SP1和Windows|远程代码执行     |             |
|Server 2003 SP2  |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 x64版和     |中等             | 中等        |
|Windows Server   |远程代码执行     |             |
|2003 x64版SP2    |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 with SP1 for|中等             | 中等        |
|Itanium-based    |远程代码执行     |             |
|Systems和Windows |                 |             |
|Server 2003 with |                 |             |
|SP2 for Itanium- |                 |             |
|based Systems    |                 |             |
|_________________|_________________|_____________|                    
|Windows Vista    |紧急             | 紧急        |
|                 |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Vista    |紧急             | 紧急        |
|x64 Edition      |远程代码执行     |             |
|_________________|_________________|_____________|
|Office 2004 for  |紧急             | 紧急        |
|Mac              |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Visual Basic 6.0 |紧急             | 紧急        |
|SP6              |远程代码执行     |             |
|_________________|_________________|_____________|
          
    - 临时解决方案:

    * 在IE中禁止实例化Microsoft Forms 2.0 ImageActiveX控件,将以下文本保存
    为.reg文件并导入:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4C599241-6926-101B-9992-00000B65C6F9}]
"Compatibility Flags"=dword:00000400

    * 配置Internet Explorer在运行活动脚本之前提示,或在Internet和本地intranet
    安全区中禁用活动脚本
    * 将Internet和本地intranet安全区设置为“高”以便在这些区中运行ActiveX控件
    和活动脚本之前提示。
        
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-008.mspx

7. MS08-009 - Microsoft Word中的漏洞可能允许远程代码执行(947077)

    - 受影响软件:
    
    Microsoft Office 2000 Service Pack 3
    Microsoft Office XP Service Pack 3
    Microsoft Office 2003 Service Pack 2
    Microsoft Office Word Viewer 2003
                  
    - 漏洞描述:

    如果用户受骗使用Word打开了特制的.DOC文件的话,就可能触发内存破坏,导致
    执行任意代码。
    
    风险级别和漏洞标识
__________________________________________________
|受影响软件       |Word内存破坏漏洞 |总体风险级别 |
|                 |CVE-2008-0109    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Word 2000 SP3    |紧急             | 紧急        |
|                 |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Word 2002 SP3    |重要             | 重要        |
|                 |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Word 2003 SP2    |重要             | 重要        |
|                 |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Office Word      |重要             | 重要        |
|Viewer 2003      |远程代码执行     |             |
|_________________|_________________|_____________|

    - 临时解决方案:

    * 在打开未知或不可信任来源的文件时,使用Microsoft Office隔离转换环境(MOICE)
    * 使用Microsoft Office文件阻断策略以防止打开未知或不可信任来源的Office
    2003及更早版本的文档。可使用以下注册表脚本为Office 2003设置文件阻断策略:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\FileOpenBlock]

"BinaryFiles"=dword:00000001
        
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-009.mspx

8. MS08-010 - Internet Explorer累积安全更新(944533)

    - 受影响软件:
    
    Internet Explorer 5.01
    Internet Explorer 6 Service Pack 1
    Internet Explorer 6
    Internet Explorer 7
                  
    - 漏洞描述:

    Internet Explorer解释某些布局组合的HTML文件、处理属性方式及图形处理中验
    证参数的方式存在多个内存破坏漏洞;Internet Explorer所使用的一个Microsoft
    Fox Pro组件也存在内存破坏漏洞。如果用户受骗访问了恶意网页的话,就可以触
    发这些漏洞,导致执行任意代码。
        
    风险级别和漏洞标识
____________________________________________________________________________
|受影响软件|HTML渲染     |属性内存     |参数处理内存 |ActiveX对象  |所有漏洞|
|          |内存破坏漏洞 |破坏漏洞     |破坏漏洞     |内存破坏漏洞 |总体风险|
|          |CVE-2008-0076|CVE-2008-0077|CVE-2008-0078|CVE-2007-4790|级别    |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|IE 5.01和 |             |             |             |             |        |
|6 SP1     |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|2000 SP4  |紧急         |不适用       |紧急         |紧急         | 紧急   |
|上的IE    |远程执行代码 |             |远程执行代码 |远程执行代码 |        |
|5.01 SP4  |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|2000 SP4  |紧急         |紧急         |紧急         |紧急         | 紧急   |
|上的IE 6  |远程执行代码 |远程执行代码 |远程执行代码 |远程执行代码 |        |
|SP1       |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|IE 6      |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|XP SP2上的|紧急         |紧急         |紧急         |紧急         | 紧急   |
|IE 6      |远程执行代码 |远程执行代码 |远程执行代码 |远程执行代码 |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|XP x64版和|紧急         |紧急         |紧急         |紧急         | 紧急   |
|XP x64 SP2|远程执行代码 |远程执行代码 |远程执行代码 |远程执行代码 |        |
|的IE 6    |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|Server    |             |             |             |             |        |
|2003 SP1  |紧急         |中等         |中等         |中等         | 紧急   |
|和Server  |远程执行代码 |远程执行代码 |远程执行代码 |远程执行代码 |        |
|2003 SP2  |             |             |             |             |        |
|的IE 6    |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|Server    |             |             |             |             |        |
|2003 x64  |紧急         |中等         |中等         |中等         | 紧急   |
|和Server  |远程执行代码 |远程执行代码 |远程执行代码 |远程执行代码 |        |
|2003 x64  |             |             |             |             |        |
|SP2的IE 6 |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|Server    |             |             |             |             |        |
|2003 SP1  |紧急         |中等         |中等         |中等         | 紧急   |
|(基于     |远程执行代码 |远程执行代码 |远程执行代码 |远程执行代码 |        |
|Itanium的 |             |             |             |             |        |
|系统)和   |             |             |             |             |        |
|Server2003|             |             |             |             |        |
|SP2(基于  |             |             |             |             |        |
|Itanium的 |             |             |             |             |        |
|系统的IE 6|             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|IE 7      |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|XP SP2的  |紧急         |紧急         |紧急         |重要         | 紧急   |
|IE 7      |远程执行代码 |远程执行代码 |远程执行代码 |远程执行代码 |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|XP x64版和|紧急         |紧急         |紧急         |重要         | 紧急   |
|XP x64 SP2|远程执行代码 |远程执行代码 |远程执行代码 |远程执行代码 |        |
|的IE 7    |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|Server    |             |             |             |             |        |
|2003 SP1  |紧急         |中等         |中等         |低           | 紧急   |
|和Server  |远程执行代码 |远程执行代码 |远程执行代码 |远程执行代码 |        |
|2003 SP2  |             |             |             |             |        |
|的IE 7    |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|Server    |             |             |             |             |        |
|2003 x64  |紧急         |中等         |中等         |低           | 紧急   |
|和Server  |远程执行代码 |远程执行代码 |远程执行代码 |远程执行代码 |        |
|2003 x64  |             |             |             |             |        |
|SP2的IE 7 |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|Server    |             |             |             |             |        |
|2003 SP1  |紧急         |中等         |中等         |低           | 紧急   |
|(基于     |远程执行代码 |远程执行代码 |远程执行代码 |远程执行代码 |        |
|Itanium的 |             |             |             |             |        |
|系统)和   |             |             |             |             |        |
|Server2003|             |             |             |             |        |
|SP2(基于  |             |             |             |             |        |
|Itanium的 |             |             |             |             |        |
|系统的IE 7|             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|Vista中的 |紧急         |紧急         |紧急         |重要         | 紧急   |
|IE 7      |远程执行代码 |远程执行代码 |远程执行代码 |远程执行代码 |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|Vista x64 |紧急         |紧急         |紧急         |重要         | 紧急   |
|版中的IE 7|远程执行代码 |远程执行代码 |远程执行代码 |远程执行代码 |        |
|__________|_____________|_____________|_____________|_____________|________|
          
    - 临时解决方案:

    * 禁止在Internet Explorer中运行COM对象
    * 配置Internet Explorer在运行活动脚本之前提示,或在Internet和本地intranet
    安全区中禁用活动脚本
    * 将Internet和本地intranet安全区设置为“高”以便在这些区中运行ActiveX控件
    和活动脚本之前提示。
        
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-010.mspx

9. MS08-011 - Microsoft Works文件转换器中的漏洞可能允许远程代码执行(947081)

    - 受影响软件:
    
    Microsoft Office 2003 Service Pack 2
    Microsoft Office 2003 Service Pack 3
    Microsoft Works 8.0
    Microsoft Works Suite 2005
                  
    - 漏洞描述:

    Microsoft Works文件转换器没有正确的验证.wps格式的分段长度头、分段头索引
    表信息及其他字段长度信息,如果用户受骗打开了恶意的Office文件的话,就可
    能触发这些漏洞,导致执行任意代码。
    
    风险级别和漏洞标识
_________________________________________________________________
|受影响软件 |Works文件转换 |Works文件转换|Works文件转换 |所有漏洞|
|           |器输入验证漏洞|器索引表漏洞 |器字段长度漏洞|总体风险|
|           |CVE-2007-0216 |CVE-2008-0105|CVE-2008-0108 |级别    |
|___________|______________|_____________|______________|________|
|           |              |             |              |        |
|Office 2003|中等          |中等         |中等          |中等    |
|上的Works 6|远程代码执行  |远程代码执行 |远程代码执行  |        |
|文件转换器 |              |             |              |        |
|___________|______________|_____________|______________|________|
|           |              |             |              |        |
|Works 8.0  |重要          |重要         |重要          |重要    |
|上的Works 6|远程代码执行  |远程代码执行 |远程代码执行  |        |
|文件转换器 |              |             |              |        |
|___________|______________|_____________|______________|________|
|           |              |             |              |        |
|Works Suite|重要          |重要         |重要          |重要    |
|2005上的   |远程代码执行  |远程代码执行 |远程代码执行  |        |
|Works 6    |              |             |              |        |
|文件转换器 |              |             |              |        |
|___________|______________|_____________|______________|________|

    - 临时解决方案:

    * 通过限制对WKCVQD01.DLL的访问来禁用Works文件转换器的安装拷贝,在命令行
    运行以下命令:
    
    Windows XP:

Echo y| cacls "%ProgramFiles%\Common Files\Microsoft shared\TextConv\wkcvqd01.dll" /E /P everyone:N

    Windows Vista:

Takeown.exe /f "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll"
Icacls.exe "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll" /save %TEMP%\wkcvqd01 _ACL.TXT
Icacls.exe "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll" /deny everyone:(F)

    * 禁止安装WKCVQD01.DLL,在命令行运行以下命令:
    
    Windows XP:

md "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\"
echo Placeholder > "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll"
Echo y| cacls "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll" /E /P everyone:N

    Windows Vista:

md "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\"
echo Placeholder > "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll"
Icacls.exe "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll" /deny everyone:(F)

    * 不要打开或保存不可信任来源的Microsoft Works文件。
            
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-011.mspx

10. MS08-012 - Microsoft Office Publisher中的漏洞可能允许远程代码执行(947085)

    - 受影响软件:
    
    Microsoft Office 2000 Service Pack 3
    Microsoft Office XP Service Pack 3
    Microsoft Office 2003 Service Pack 2
                  
    - 漏洞描述:

    Microsoft Office Publisher在将Publisher文件加载到内存时没有正确的验证应
    用程序数据,在打开特制的Publisher文件时没有验证内存索引值。如果用户受骗
    打开了恶意.pub文件的话,就可能触发内存破坏,导致执行任意代码。
    
    风险级别和漏洞标识
___________________________________________________
|受影响软件 |Publisher无效 |Publisher    |所有漏洞|
|           |内存引用漏洞  |内存破坏漏洞 |总体风险|
|           |CVE-2008-0102 |CVE-2008-0102|级别    |
|___________|______________|_____________|________|
|           |              |             |        |
|Publisher  |紧急          |紧急         |紧急    |
|2000 SP3   |远程代码执行  |远程代码执行 |        |
|___________|______________|_____________|________|
|           |              |             |        |
|Publisher  |重要          |重要         |重要    |
|2002 SP3   |远程代码执行  |远程代码执行 |        |
|___________|______________|_____________|________|
|           |              |             |        |
|Publisher  |重要          |重要         |重要    |
|2003 SP2   |远程代码执行  |远程代码执行 |        |
|___________|______________|_____________|________|

    - 临时解决方案:

    * 不要打开或保存不可信任来源的Microsoft Office文件。
            
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-012.mspx

11. MS08-013 - Microsoft Office中的漏洞可能允许远程代码执行(947108)

    - 受影响软件:
    
    Microsoft Office 2000 Service Pack 3
    Microsoft Office XP Service Pack 3
    Microsoft Office 2003 Service Pack 2
    Microsoft Office 2004 for Mac
                  
    - 漏洞描述:

    Microsoft Office在处理注入了畸形对象的Office文件时存在内存破坏漏洞。如
    果用户受骗打开了特制的Office文件的话,就可能触发这个漏洞,导致执行任意
    代码。
    
    风险级别和漏洞标识
__________________________________________________
|受影响软件       |Office执行跳转   |总体风险级别 |
|                 |漏洞             |             |
|                 |CVE-2008-0103    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Office 2000 SP3  |紧急             | 紧急        |
|                 |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Office 2002 SP3  |重要             | 重要        |
|                 |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Office 2003 SP2  |重要             | 重要        |
|                 |远程代码执行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Office 2004 for  |重要             | 重要        |
|Mac              |远程代码执行     |             |
|_________________|_________________|_____________|

    - 临时解决方案:

    * 限制对VBE6.dll的访问,在命令行键入:
    
    Windows XP:

Echo y|cacls "%ProgramFiles%\common files\microsoft shared\vba\vba6\vbe6.dll" /E /P everyone:N

    Windows Vista:

Takeown.exe /f "%ProgramFiles%\common files\microsoft shared\vba\vba6\vbe6.dll"
Icacls.exe "%ProgramFiles%\common files\microsoft shared\vba\vba6\vbe6.dll" /save %TEMP%\VBE6_ACL.TXT
Icacls.exe "%ProgramFiles%\common files\microsoft shared\vba\vba6\vbe6.dll" /deny everyone:(F)
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-013.mspx

附加信息:
==========
1. http://www.microsoft.com/china/technet/security/bulletin/MS08-003.mspx
2. http://www.microsoft.com/china/technet/security/bulletin/MS08-004.mspx
3. http://www.microsoft.com/china/technet/security/bulletin/MS08-005.mspx
4. http://www.microsoft.com/china/technet/security/bulletin/MS08-006.mspx
5. http://www.microsoft.com/china/technet/security/bulletin/MS08-007.mspx
6. http://www.microsoft.com/china/technet/security/bulletin/MS08-008.mspx
7. http://www.microsoft.com/china/technet/security/bulletin/MS08-009.mspx
8. http://www.microsoft.com/china/technet/security/bulletin/MS08-010.mspx
9. http://www.microsoft.com/china/technet/security/bulletin/MS08-011.mspx
10. http://www.microsoft.com/china/technet/security/bulletin/MS08-012.mspx
11. http://www.microsoft.com/china/technet/security/bulletin/MS08-013.mspx
12. http://secunia.com/advisories/28909/
13. http://secunia.com/advisories/28904/
14. http://secunia.com/advisories/28903/
15. http://secunia.com/advisories/28902/
16. http://secunia.com/advisories/28901/
17. http://secunia.com/advisories/28894/
18. http://secunia.com/advisories/28893/
19. http://secunia.com/advisories/28849/
20. http://secunia.com/advisories/28828/
21. http://secunia.com/advisories/28764/
22. http://secunia.com/advisories/28906/
23. http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=659
24. http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=660
25. http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=661
26. http://www.zerodayinitiative.com/advisories/ZDI-08-006.html
27. http://www.us-cert.gov/cas/techalerts/TA08-043C.html

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技