首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2008-08)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布10月份安全公告 修复多个严重安全漏洞

发布日期:2008-10-15


综述:
======
微软发布了10月份的11篇安全公告,这些公告描述并修复了20个安全漏洞,其中10个
漏洞属于“紧急”风险级别。攻击者利用这些漏洞可能远程入侵并完全控制客户端系统。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,
并按照我们提供的解决方法予以解决。

分析:
======
微软发布了10月份的11篇最新的安全公告:MS08-056到MS08-066。这些安全公告分别描
述了20个安全问题,分别是有关Windows操作系统、Office组件、Internet Explorer
和Host Integration Server中的漏洞。

1. MS08-056 - Microsoft Office中的漏洞可能允许信息泄露(957699)

    - 受影响软件和系统:

    Microsoft Office XP Service Pack 3

    - 漏洞描述:

    Office使用CDO协议(cdo:)和Content-Disposition: Attachment头处理文档的
    方式中存在一个漏洞,可能无法在Web浏览器中正确的呈现这些文档,从而导致执
    行跨站脚本。

    - 临时解决方案:

    * 禁用OneNote协议处理程序

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/downloads/details.aspx?familyid=b1aee2d5-bfa0-40e3-91b6-98bf65524e8c

2. MS08-057 - Microsoft Excel中的漏洞可能允许远程执行代码(956416)

    - 受影响系统:

    Excel 2000 Service Pack 3
    Excel 2002 Service Pack 3
    Excel 2003 Service Pack 2
    Excel 2003 Service Pack 3
    Excel 2007
    Excel 2007 Service Pack 1
    Microsoft Office Excel Viewer 2003
    Microsoft Office Excel Viewer 2003 Service Pack 3
    Microsoft Office Excel Viewer
    用于Word、Excel和PowerPoint 2007文件格式的Microsoft Office兼容包
    用于Word、Excel和PowerPoint 2007文件格式Service Pack 1的Microsoft Office
    兼容包
    Microsoft Office SharePoint Server 2007
    Microsoft Office SharePoint Server 2007 Service Pack 1
    Microsoft Office SharePoint Server 2007 x64 Edition
    Microsoft Office SharePoint Server 2007 x64 Edition Service Pack 1
    Microsoft Office 2004 for Mac
    Microsoft Office 2008 for Mac
    Open XML File Format Converter for Mac
    
    - 漏洞描述:

    Excel处理VBA性能缓存和的方式中存在一个远程执行代码漏洞。如果用户在VBA性
    能缓存中打开一个特制Excel文件,该漏洞可能允许远程执行代码。
    
    由于加载Excel对象时内存分配不当,导致Microsoft Excel中存在一个远程执行
    代码漏洞。如果用户打开带有畸形对象的特制Excel文件,该漏洞可能允许远程执
    行代码。
    
    如果单元格中包含有特制的公式的话,则在解析该Excel文档时会出现整数溢出,
    导致以当前登录用户的权限入侵系统。

    - 临时解决方案:

    * 打开来自未知来源或不可信来源的文件时使用MOICE。
    * 使用Microsoft Office文件阻止策略禁止打开来自未知或不可信来源和位置的
    Office 2003以及较早版本的文档。
    * 修改VBE6.DLL上的访问控制表(ACL)以拒绝Everyone组的访问。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-057.mspx

3. MS08-058 - Internet Explorer累积安全更新(956390)

    - 受影响系统:

     Microsoft Internet Explorer 5.01 Service Pack 4
     Microsoft Internet Explorer 6 Service Pack 1
     Microsoft Internet Explorer 6
     Windows Internet Explorer 7

    - 漏洞描述:

    Internet Explorer中存在多个远程执行代码或信息泄露漏洞,可能允许攻击者访
    问另一个域或Internet Explorer区域中的浏览器窗口;Internet Explorer访问
    未正确初始化或已删除的对象的方式中存在多个远程执行代码漏洞。

    - 临时解决方案:

    * 将Internet和本地Intranet安全区域设置设为“高”,以便在这些区域中运行ActiveX
    控件和活动脚本之前进行提示。
    * 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行活动脚
    本或禁用活动脚本之前进行提示。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-058.mspx

4. MS08-059 - Host Integration Server RPC服务中的漏洞可能允许远程执行代码(956695)

    - 受影响软件:

    Microsoft Host Integration Server 2000 Service Pack 2(服务器)
    Microsoft Host Integration Server 2000管理员客户端
    Microsoft Host Integration Server 2004(服务器)
    Microsoft Host Integration Server 2004 Service Pack 1(服务器)
    Microsoft Host Integration Server 2004(客户端)
    Microsoft Host Integration Server 2004 Service Pack 1(客户端)
    Microsoft Host Integration Server 2006(用于32位系统)
    Microsoft Host Integration Server 2006(用于基于x64的系统)

    - 漏洞描述:

    Host Integration Server的SNA远程过程调用(RPC)服务中存在远程执行代码漏
    洞。攻击者可通过构建特制的RPC请求来利用此漏洞,导致远程执行代码。成功利
    用此漏洞的攻击者可以完全控制受影响的系统。

    - 临时解决方案:

    * 对于Host Integration Server 2004和Host Integration Server 2006,请勿
    将HIS/SNA服务配置为使用管理员帐户运行。
    * 对于Host Integration Server 2000、Host Integration Server 2004和Host
    Integration Server 2006,禁用SNA RPC服务。

    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-059.mspx

5. MS08-060 - 活动目录中的漏洞可能允许远程执行代码(957280)

    - 受影响软件和系统:

    Microsoft Windows 2000 Server Service Pack 4

    - 漏洞描述:

    Microsoft Windows 2000 Server上的活动目录实现中在接收特制LDAP或LDAPS请
    求时没有正确的分配内存。成功利用此漏洞的攻击者可以完全控制受影响的系统。

    - 临时解决方案:

    * 在外围防火墙处阻止TCP 389和636端口。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/downloads/details.aspx?familyid=8ed7bb9a-4b26-49d7-8c14-60226d2bc20d

6. MS08-061 - Windows内核中的漏洞可能允许权限提升(954211)

    - 受影响系统:

    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Service Pack 3
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系统)以及Windows Server 2003
    SP2(用于基于Itanium的系统)
    Windows Vista和Windows Vista Service Pack 1
    Windows Vista x64 Edition和Windows Vista x64 Edition Service Pack 1
    Windows Server 2008(用于32位系统)
    Windows Server 2008(用于基于x64的系统)
    Windows Server 2008(用于基于Itanium的系统)
    
    - 漏洞描述:

    Windows内核未正确验证新窗口创建过程中所传递的窗口属性和用户态输出,或可
    能处于双重释放的状态。成功利用此漏洞的攻击者可以运行任意内核态代码。攻
    击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新
    帐户。
    
    - 临时解决方案:

    无
    
    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-061.mspx

7. MS08-062 - Windows Internet打印服务中的漏洞可能允许远程执行代码(953155)

    - 受影响系统:

    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Service Pack 3
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系统)以及Windows Server 2003
    SP2(用于基于Itanium的系统)
    Windows Vista和Windows Vista Service Pack 1
    Windows Vista x64 Edition和Windows Vista x64 Edition Service Pack 1
    Windows Server 2008(用于32位系统)
    Windows Server 2008(用于基于x64的系统)
    Windows Server 2008(用于基于Itanium的系统)

    - 漏洞描述:

    在运行IIS的Windows服务器上的Microsoft Internet打印协议(IPP)实现中存在
    一个整数溢出漏洞,可能允许通过认证攻击者在受影响的IIS服务器上远程执行代
    码。

    - 临时解决方案:

    * 禁用IPP服务。
    * 运行IIS锁定工具2.1。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-062.mspx

8. MS08-063 - SMB中的漏洞可能允许远程执行代码(957095)

    - 受影响软件:

    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Service Pack 3
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系统)以及Windows Server 2003
    SP2(用于基于Itanium的系统)
    Windows Vista和Windows Vista Service Pack 1
    Windows Vista x64 Edition和Windows Vista x64 Edition Service Pack 1
    Windows Server 2008(用于32位系统)
    Windows Server 2008(用于基于x64的系统)
    Windows Server 2008(用于基于Itanium的系统)

    - 漏洞描述:

    Microsoft服务器消息块(SMB)协议处理特制文件名的方式中存在一个缓冲区下
    溢漏洞。利用该漏洞要求进行认证,因为只有当共享类型为磁盘时才可访问有漏
    洞的函数。成功利用此漏洞的攻击者可以安装程序;查看、更改或删除数据;或
    者创建拥有完全用户权限的新帐户

    - 临时解决方案:

    无

    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-063.mspx

9. MS08-064 - 虚拟地址描述符操作中的漏洞可能允许权限提升(956841)

    - 受影响软件和系统:

    Windows XP Service Pack 2
    Windows XP Service Pack 3
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系统)以及Windows Server 2003
    SP2(用于基于Itanium的系统)
    Windows Vista和Windows Vista Service Pack 1
    Windows Vista x64 Edition和Windows Vista x64 Edition Service Pack 1
    Windows Server 2008(用于32位系统)
    Windows Server 2008(用于基于x64的系统)
    Windows Server 2008(用于基于Itanium的系统)

    - 漏洞描述:

    内存管理器处理内存分配和虚拟地址描述符(VADs)的方式中存在一个整数漏洞。
    如果通过认证的攻击者在受影响的系统上允许特制的程序,此漏洞可能允许权限
    提升。成功利用此漏洞的攻击者可以在受影响的系统上获得特权提升。攻击者随
    后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。

    - 临时解决方案:

    无

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-064.mspx

10. MS08-065 - 消息队列中的漏洞可能允许远程执行代码(951071)

    - 受影响系统:

    Microsoft Windows 2000 Service Pack 4
    
    - 漏洞描述:

    由于在解析消息队列服务的RPC请求时存在特定的漏洞,导致消息队列服务中存在
    远程执行代码漏洞。攻击者可能通过发送特制的RPC请求来利用此漏洞,在未检查
    的字符串复制操作过程中触发溢出。成功利用此漏洞的攻击者可以完全控制受影
    响的系统。
    
    - 临时解决方案:

    * 在周边防火墙中屏蔽端口号大于1024的端口上的所有非法入站通信和任何其他
    特殊配置的RPC端口。
    * 禁用消息队列服务。
    
    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/downloads/details.aspx?familyid=899e2728-2433-4ccb-a195-05b5d65e5469

11. MS08-066 - Microsoft辅助函数驱动中的漏洞可能允许权限提升(956803)

    - 受影响系统:

    Windows XP Service Pack 2
    Windows XP Service Pack 3
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系统)以及Windows Server 2003
    SP2(用于基于Itanium的系统)

    - 漏洞描述:

    Windows错误的验证了从用户态传递到内核的输入,导致辅助函数驱动(afd.sys)
    中存在权限提升漏洞。成功利用此漏洞的本地攻击者可执行任意代码,并可完全
    控制受影响的系统。

    - 临时解决方案:

    无

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-066.mspx

附加信息:
==========
1. http://www.microsoft.com/china/technet/security/bulletin/MS08-056.mspx
2. http://www.microsoft.com/china/technet/security/bulletin/MS08-057.mspx
3. http://www.microsoft.com/china/technet/security/bulletin/MS08-058.mspx
4. http://www.microsoft.com/china/technet/security/bulletin/MS08-059.mspx
5. http://www.microsoft.com/china/technet/security/bulletin/MS08-060.mspx
6. http://www.microsoft.com/china/technet/security/bulletin/MS08-061.mspx
7. http://www.microsoft.com/china/technet/security/bulletin/MS08-062.mspx
8. http://www.microsoft.com/china/technet/security/bulletin/MS08-063.mspx
9. http://www.microsoft.com/china/technet/security/bulletin/MS08-064.mspx
10. http://www.microsoft.com/china/technet/security/bulletin/MS08-065.mspx
11. http://www.microsoft.com/china/technet/security/bulletin/MS08-066.mspx
12. http://secunia.com/advisories/32242/
13. http://secunia.com/advisories/32233/
14. http://secunia.com/advisories/32211/
15. http://secunia.com/advisories/32261/
16. http://secunia.com/advisories/32247/
17. http://secunia.com/advisories/32248/
18. http://secunia.com/advisories/32249/
19. http://secunia.com/advisories/32251/
20. http://secunia.com/advisories/32260/
21. http://secunia.com/advisories/32138/
22. http://dvlabs.tippingpoint.com/advisory/TPTI-08-07
23. http://www.zerodayinitiative.com/advisories/ZDI-08-068/
24. http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=746
25. http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=745
26. http://www.zerodayinitiative.com/advisories/ZDI-08-069/

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技