首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2008-11)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布12月份安全公告 修复多个严重安全漏洞

发布日期:2008-12-10


综述:
======
微软发布了12月份的8篇安全公告,这些公告描述并修复了28个安全漏洞,其中23个漏
洞属于“紧急”风险级别。攻击者利用这些漏洞可能远程入侵并完全控制客户端系统。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,
并按照我们提供的解决方法予以解决。

分析:
======
微软发布了12月份的8篇最新的安全公告:MS08-070到MS08-077。这些安全公告描述了
28个安全问题,分别是有关Windows操作系统、IE浏览器、Office组件、Office SharePoint
Server和Visual Basic 6中的漏洞。

1. MS08-070 - Visual Basic 6.0运行时扩展文件(ActiveX 控件)中的漏洞可能允
许远程执行代码(932349)

    - 受影响软件和系统:

    Microsoft Visual Basic 6.0运行时扩展文件
    Microsoft Visual Studio .NET 2002 Service Pack 1
    Microsoft Visual Studio .NET 2003 Service Pack 1
    Microsoft Visual FoxPro 8.0 Service Pack 1
    Microsoft Visual FoxPro 9.0 Service Pack 1
    Microsoft Visual FoxPro 9.0 Service Pack 2
    Microsoft Office FrontPage 2002 Service Pack 3
    Microsoft Office Project 2003 Service Pack 3
    Microsoft Office Project 2007
    Microsoft Office Project 2007 Service Pack 1

    - 漏洞描述:

    Visual Basic 6的DataGrid ActiveX(msdatgrd.ocx)、FlexGrid ActiveX(msflxgrd.ocx)、
    Hierarchical FlexGrid ActiveX(mshflxgd.ocx)、Windows Common ActiveX
    (mscomct2.ocx)和Charts ActiveX(Mschrt20.ocx)控件没有正确的验证用户
    输入参数。攻击者可以通过构造特制网页来利用该漏洞。当用户查看网页时,该
    漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同
    的用户权限。

  - 临时解决方案:

    * 在IE中禁止上述控件。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-070.mspx

2. MS08-071 - GDI中的漏洞可能允许远程执行代码(956802)

    - 受影响系统:

    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2 和 Windows XP Service Pack 3
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系统)以及Windows Server 2003
    SP2(用于基于Itanium的系统)
    Windows Vista和Windows Vista Service Pack 1
    Windows Vista x64 Edition和Windows Vista x64 Edition Service Pack 1
    Windows Server 2008(用于32位系统)
    Windows Server 2008(用于基于x64的系统)
    Windows Server 2008(用于基于Itanium的系统)

    - 漏洞描述:

    GDI处理整数计算的方式中存在整数溢出漏洞,处理WMF文件中文件大小参数的方
    式中存在堆溢出漏洞。如果用户打开特制的WMF图像文件,或第三方应用程序使用
    特定的Microsoft API复制特制的WMF图像文件,这些漏洞就可能允许远程执行代
    码。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程
    序;查看、更改或删除数据;或者创建新帐户。

    - 临时解决方案:

    * 通过修改注册表禁用元文件处理。
    * 在纯文本中阅读电子邮件。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-071.mspx

3. MS08-072 - Microsoft Office Word中的漏洞可能允许远程执行代码(957173)

    - 受影响系统:

    Microsoft Office Word 2000 Service Pack 3
    Microsoft Office Word 2002 Service Pack 3
    Microsoft Office Word 2003 Service Pack 3
    Microsoft Office Word 2007
    Microsoft Office Outlook 2007
    Microsoft Office Word 2007 Service Pack 1
    Microsoft Office Outlook 2007 Service Pack
    Microsoft Office Word Viewer 2003
    Microsoft Office Word Viewer 2003 Service Pack 3
    用于Word、Excel和PowerPoint 2007文件格式的Microsoft Office兼容包
    用于Word、Excel和PowerPoint 2007文件格式Service Pack 1的Microsoft Office
    兼容包
    Microsoft Works 8.5
    Microsoft Office 2004 for Mac
    Microsoft Office 2008 for Mac
    Mac的开放XML文件格式转换器

    - 漏洞描述:

    Word在解析某些记录、RTF文件中控制字时存在多个内存破坏漏洞,在计算polyline
    或polygon中指定点数所需空间时存在整数溢出。如果用户打开了带有畸形记录值
    的特制Word文件,或在Word中打开特制的RTF文件,或者阅读或预览以RTF格式发
    送的特制电子邮件,这些漏洞可能允许远程执行代码。成功利用此漏洞的攻击者
    可能会在当前登录用户的上下文中控制受影响的系统。攻击者可随后安装程序;
    查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

    - 临时解决方案:

    * 禁止Word加载RTF文件。
    * 以纯文本格式阅读电子邮件。
    * 不要打开或保存从不受信任来源或从受信任来源意外收到的Microsoft Office
    文件。
    * 在Word客户端系统上,当打开来自未知来源或不可信来源的文件时使用Microsoft
    Office隔离转换环境(MOICE)。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-072.mspx

4. MS08-073 - Internet Explorer累积安全更新(958215)

    - 受影响软件:

    Microsoft Internet Explorer 5.01 Service Pack 4
    Microsoft Internet Explorer 6 Service Pack 1
    Microsoft Internet Explorer 6
    Microsoft Internet Explorer 7

    - 漏洞描述:

    Internet Explorer处理某些导航方法时未正确验证浏览器中方法调用期间所设定
    的参数,在特定情形下尝试访问未初始化的内存,可能尝试访问已被删除的对象,
    在将对象嵌入到网页的方式中存在内存破坏。攻击者可以通过构建特制的网页来
    利用该漏洞。当用户查看网页时,该漏洞可能允许远程执行代码。成功利用此漏
    洞的攻击者可以获得与登录用户相同的用户权限。

    - 临时解决方案:

    * 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX
    控件之前进行提示。    
    * 将Internet 和本地Intranet安全区域设置设为“高”,以便在这些区域中运行
    ActiveX控件和活动脚本之前进行提示。
    * 以纯文本格式阅读电子邮件可帮助保护您免受来自HTML电子邮件攻击媒介的攻击。
    * 禁止在Internet Explorer中运行COM对象。
    * 禁用Web客户端服务。
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-073.mspx

5. MS08-074 - Microsoft Office Excel中的漏洞可能允许远程执行代码(959070)

    - 受影响软件:

    Microsoft Office Excel 2000 Service Pack 3
    Microsoft Office Excel 2002 Service Pack 3
    Microsoft Office Excel 2003 Service Pack 3
    Microsoft Office Excel 2007
    Microsoft Office Excel 2007 Service Pack 1
    Microsoft Office Excel Viewer 2003
    Microsoft Office Excel Viewer 2003 Service Pack 3
    Microsoft Office Excel Viewer
    用于 Word、Excel和PowerPoint 2007文件格式的Microsoft Office兼容包
    用于 Word、Excel和PowerPoint 2007文件格式Service Pack 1的Microsoft Office
    兼容包
    Microsoft Office 2004 for Mac
    Microsoft Office 2008 for Mac
    Mac的开放XML文件格式转换器

    - 漏洞描述:

    Excel在解析记录和公式时存在多个内存破坏漏洞,在验证NAME记录中的索引值时
    存在栈破坏漏洞。如果用户打开带有畸形对象的特制Excel文件,这些漏洞可能允
    许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者
    可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
  
    - 临时解决方案:

    * 不要打开或保存从不受信任来源或从受信任来源意外收到的Microsoft Office
    文件。
    * 在Word客户端系统上,当打开来自未知来源或不可信来源的文件时使用Microsoft
    Office隔离转换环境(MOICE)。

    - 厂商补丁:

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
     http://www.microsoft.com/china/technet/security/bulletin/MS07-075.mspx    

6. MS08-075 - Windows Search中的漏洞可能允许远程执行代码(959349)

    - 受影响系统:

    Windows Vista和Windows Vista Service Pack 1
    Windows Vista x64 Edition和Windows Vista x64 Edition Service Pack 1
    Windows Server 2008(用于32位系统)
    Windows Server 2008(用于基于x64的系统)
    Windows Server 2008(用于基于Itanium的系统)

    - 漏洞描述:

    Windows资源管理器在保存Windows Search文件时没有正确的释放内存,用户保存
    了特制的搜索文件就可能导致执行任意代码;在解析search-ms协议时没有正确的
    处理参数,如果用户访问了恶意站点并通过特殊方式调用了search-ms协议处理器
    的话就可能导致执行任意代码。

    - 临时解决方案:

    * 临时更改与“.search-ms”文件扩展名有关的文件类型,在提升的命令提示符处
    输入以下命令:assoc .search-ms=xmlfile
    * 注销SearchFolder文件类型。
    * 在Windows资源管理器中禁用search-ms协议处理程序。

    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-075.mspx

7. MS08-076 - Windows媒体组件中的漏洞可能允许远程执行代码(959807)

    - 受影响系统:

    Windows Media Player 6.4
    Windows Media Format Runtime 7.1
    Windows Media Format Runtime 9.0
    Windows Media Format Runtime 9.5
    Windows Media Format Runtime 11
    Windows Media Services 4.1
    Windows Media Services 9系列
    Windows Media Services 2008

    - 漏洞描述:

    由于Windows Media组件的服务主体名称(SPN)实现中的弱点,Windows Media组
    件中存在一个凭据反射漏洞,允许攻击者使用与本地用户相同的权限或使用Windows
    Media Services分发凭据执行代码。
    
    Windows Media组件中存在一个信息泄露漏洞,访问使用ISATAP地址URL的任意Windows
    Media组件可能将NTLM凭据泄露给其中承载了此URL的服务器,从而使Intranet区
    域外的攻击者可以为某个企业环境收集NTLM凭据。

    - 临时解决方案:

    * 在防火墙处阻止IP协议类型41(ISATAP)。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-076.mspx

8. MS08-077 - Microsoft Office SharePoint Server中的漏洞可能导致权限提升(957175)

    - 受影响系统:

    Microsoft Office SharePoint Server 2007(32位版本)
    Microsoft Office SharePoint Server 2007 Service Pack 1(32位版本)
    Microsoft Office SharePoint Server 2007(64位版本)
    Microsoft Office SharePoint Server 2007 Service Pack 1(64位版本)
    Microsoft Search Server 2008(32位版本)
    Microsoft Search Server 2008(64位版本)

    - 漏洞描述:

    在Microsoft Office SharePoint Server中存在一个权限提升漏洞。如果攻击者
    通过浏览SharePoint站点上的管理URL而绕过认证,就可以获得提升。成功攻击可
    能会导致拒绝服务或信息泄露。

    - 临时解决方案:

    * 使用防火墙阻止恶意HTTP请求。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS08-077.mspx

附加信息:
==========
1. http://www.microsoft.com/china/technet/security/bulletin/MS08-070.mspx
2. http://www.microsoft.com/china/technet/security/bulletin/MS08-071.mspx
3. http://www.microsoft.com/china/technet/security/bulletin/MS08-072.mspx
4. http://www.microsoft.com/china/technet/security/bulletin/MS08-073.mspx
5. http://www.microsoft.com/china/technet/security/bulletin/MS08-074.mspx
6. http://www.microsoft.com/china/technet/security/bulletin/MS08-075.mspx
7. http://www.microsoft.com/china/technet/security/bulletin/MS08-076.mspx
8. http://www.microsoft.com/china/technet/security/bulletin/MS08-077.mspx
9. http://secunia.com/advisories/33063/
10. http://secunia.com/advisories/33058/
11. http://secunia.com/advisories/33053/
12. http://secunia.com/advisories/33035/
13. http://secunia.com/advisories/33020/
14. http://secunia.com/advisories/31593/
15. http://secunia.com/advisories/30285/
16. http://secunia.com/advisories/26534/
17. http://www.us-cert.gov/cas/techalerts/TA08-344A.html
18. http://www.zerodayinitiative.com/advisories/ZDI-08-087
19. http://www.zerodayinitiative.com/advisories/ZDI-08-086
20. http://www.zerodayinitiative.com/advisories/ZDI-08-085
21. http://www.zerodayinitiative.com/advisories/ZDI-08-084
22. http://www.zerodayinitiative.com/advisories/ZDI-08-083
23. http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=761
24. http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=762

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技