首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2009-01)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布4月份安全公告 修复多个严重安全漏洞

发布日期:2009-04-15


综述:
======
微软发布了4月份的8篇安全公告,这些公告描述并修复了23个安全漏洞,其中8个漏
洞属于“紧急”风险级别。攻击者利用这些漏洞可能远程入侵并完全控制客户端系统。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,
并按照我们提供的解决方法予以解决。

分析:
======
微软发布了4月份的8篇最新的安全公告:MS09-009到MS08-016。这些安全公告描述了
23个安全问题,分别是有关Windows操作系统、IE浏览器、Office组件、DirectShow、
ISA Server和Forefront TMG中的漏洞。

1. MS09-009 - Microsoft Excel中的漏洞可能允许远程执行代码(968557)

    - 受影响软件和系统:

    Microsoft Office Excel 2000 Service Pack 3
    Microsoft Office Excel 2002 Service Pack 3
    Microsoft Office Excel 2003 Service Pack 3
    Microsoft Office Excel 2007 Service Pack 1
    Microsoft Office 2004 for Mac
    Microsoft Office 2008 for Mac
    Microsoft Office Excel Viewer 2003 Service Pack 3
    Microsoft Office Excel Viewer
    用于 Word、Excel和PowerPoint 2007文件格式Service Pack 1的Microsoft Office
    兼容包

    - 漏洞描述:

    如果用户打开带有畸形对象的特制Excel文件,Office Excel中的漏洞可能允许远
    程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统,攻击者可随
    后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

  - 临时解决方案:

    * 在Excel客户端系统上,打开未知或不可信任来源的文件时,使用Microsoft Office
    隔离转换环境(MOICE)

    * 在Excel客户端系统上,使用Microsoft Office文件阻断策略以防止打开未知或
    不可信任来源的Office 2003及更早版本的文档。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS09-009.mspx

2. MS09-010 - 写字板和Office文本转换器中的漏洞可能允许远程执行代码(960477)

    - 受影响系统:

    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2和Service Pack 3
    Windows XP Professional x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 1和Service Pack 2
    Windows Server 2003 x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 with SP1 for Itanium-based Systems和Server 2003 with
    SP2 for Itanium-based Systems
    Microsoft Office Word 2000 Service Pack 3
    Microsoft Office Word 2002 Service Pack 3
    Microsoft Office Converter Pack

    - 漏洞描述:

    Microsoft写字板和Office文本转换器中存在多个内存破坏和栈溢出漏洞。如果用
    户打开了特制的Word 6、Word 97、WordPerfect或Word文档的话,这些漏洞可能
    允许远程执行代码。

    - 临时解决方案:

    * 不要使用受影响版本的写字板或Microsoft Office打开或保持从不可信任来源
    接收到的或从可信任来源意外接收到的Microsoft Office文件。
    
    * 禁用Word 6转换器和Office文本转换器。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS09-010.mspx

3. MS09-011 - Microsoft DirectShow中的漏洞可能允许远程代码执行(961373)

    - 受影响系统:

    DirectX 8.1
    DirectX 9.0

    - 漏洞描述:

    Microsoft DirectShow处理受支持格式文件的方式存在漏洞,如果用户受骗打开
    了特制的MJPEG文件就会导致执行任意代码。

    - 临时解决方案:

    * 在Quartz.dll中禁止解码MJPEG内容。
    
    * 注销quartz.dll。

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS09-011.mspx

4. MS09-012 - Windows中的安全漏洞可能导致权限提升(959454)

    - 受影响软件:

    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2和Service Pack 3
    Windows XP Professional x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 1和Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 with SP1 for Itanium-based Systems和Server 2003 with
    SP2 for Itanium-based Systems
    Windows Vista和Windows Vista Service Pack 1
    Windows Vista x64 Edition和Windows Vista x64 Edition Service Pack 1
    Windows Server 2008 for 32-bit Systems
    Windows Server 2008 for x64-based Systems
    Windows Server 2008 for Itanium-based Systems

    - 漏洞描述:

    Microsoft Windows平台上的MSDTC事件处理工具、WMI提供程序和RPCSS服务存在
    多个权限提升漏洞;此外Windows没有正确的对当前ThreadPool中的线程设置ACL,
    这都允许登录到系统的攻击者以提升的权限执行任意代码。

    - 临时解决方案:

    * 对于IIS 6.0,对IIS中的应用程序池配置WPI以使用IIS管理器中创建的账号并
    禁用MSDTC。
        
    * 对于IIS 7.0,对IIS管理器中的应用程序池指定WPI。
    
    * 对于IIS 7.0,使用APPCMD.exe命令行工具对应用程序池指定WPI。
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS09-012.mspx

5. MS09-013 - Windows HTTP服务中的安全漏洞可能允许远程执行代码(960803)

    - 受影响软件:

    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2和Service Pack 3
    Windows XP Professional x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 1和Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 with SP1 for Itanium-based Systems和Server 2003 with
    SP2 for Itanium-based Systems
    Windows Vista和Windows Vista Service Pack 1
    Windows Vista x64 Edition和Windows Vista x64 Edition Service Pack 1
    Windows Server 2008 for 32-bit Systems
    Windows Server 2008 for x64-based Systems
    Windows Server 2008 for Itanium-based Systems

    - 漏洞描述:

    Windows HTTP服务处理远程Web服务器所返回的特定值的方式存在整数下溢漏洞,
    没有正确的验证数字证书中不同的名称,处理NTLM凭据时可能重放用户的凭据。
    远程攻击者可以利用这些漏洞完全入侵用户系统或执行中间人类型的欺骗攻击。
  
    - 临时解决方案:

    无

    - 厂商补丁:

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
     http://www.microsoft.com/china/technet/security/bulletin/MS07-075.mspx    

6. MS09-014 - Internet Explorer累积安全更新(963027)

    - 受影响系统:

    Internet Explorer 5.01 Service Pack 4
    Internet Explorer 6 Service Pack 1
    Internet Explorer 6
    Internet Explorer 7

    - 漏洞描述:

    Internet Explorer中存在多个内存破坏和凭据反射等漏洞。如果用户受骗打开了
    特制的网页,或通过HTTP协议连接到了恶意服务器,这些漏洞就可能允许在用户
    机器上执行任意代码。

    - 临时解决方案:

    * 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行活动脚
    本之前进行提示。

    * 将Internet和本地intranet安全区设置为“高”以在运行ActiveX控件和活动脚本
    之前要求提示。
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS09-014.mspx

7. MS09-015 - SearchPath函数可能允许权限提升(959426)

    - 受影响系统:

    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2和Service Pack 3
    Windows XP Professional x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 1和Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 with SP1 for Itanium-based Systems和Server 2003 with
    SP2 for Itanium-based Systems
    Windows Vista和Windows Vista Service Pack 1
    Windows Vista x64 Edition和Windows Vista x64 Edition Service Pack 1
    Windows Server 2008 for 32-bit Systems
    Windows Server 2008 for x64-based Systems
    Windows Server 2008 for Itanium-based Systems

    - 漏洞描述:

    Windows中SearchPath函数锁定并打开系统上文件的方式存在混合威胁所导致的权
    限提升漏洞。攻击者可以诱骗用户将特制文件下载到特定的位置,然后打开在某
    些环境下可能加载该文件的应用程序,以利用这个漏洞执行任意代码。

    - 临时解决方案:

    无

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS09-015.mspx

8. MS09-016 - Microsoft ISA Server和Forefront Threat Management Gateway中的
漏洞可能导致拒绝服务(961759)

    - 受影响系统:

    Microsoft Forefront Threat Management Gateway, Medium Business Edition
    Microsoft Internet Security和Acceleration Server 2004 Service Pack 3
    Microsoft Internet Security和Acceleration Server 2006
    Internet Security和Acceleration Server 2006可支持性升级
    Microsoft Internet Security和Acceleration Server 2006 Service Pack 1

    - 漏洞描述:

    防火墙引擎处理Web代理或Web发布监听程序的TCP状态的方式存在拒绝服务漏洞,
    远程用户可能导致Web监听程序停止响应新的请求。
    
    ISA Server或Forefront TMG的HTML表单认证组件cookieauth.dll中存在跨站脚本
    漏洞,可能允许通过运行cookieauth.dll的服务器在其他用户的机器上运行恶意
    脚本代码。这是一个非持久性的跨站脚本漏洞,可能导致欺骗和信息泄露。

    - 临时解决方案:

    无

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/china/technet/security/bulletin/MS09-016.mspx


附加信息:
==========
1. http://www.microsoft.com/china/technet/security/bulletin/MS09-009.mspx
2. http://www.microsoft.com/china/technet/security/bulletin/MS09-010.mspx
3. http://www.microsoft.com/china/technet/security/bulletin/MS09-011.mspx
4. http://www.microsoft.com/china/technet/security/bulletin/MS09-012.mspx
5. http://www.microsoft.com/china/technet/security/bulletin/MS09-013.mspx
6. http://www.microsoft.com/china/technet/security/bulletin/MS09-014.mspx
7. http://www.microsoft.com/china/technet/security/bulletin/MS09-015.mspx
8. http://www.microsoft.com/china/technet/security/bulletin/MS09-016.mspx
9. http://secunia.com/advisories/34687/
10. http://secunia.com/advisories/34678/
11. http://secunia.com/advisories/34677/
12. http://secunia.com/advisories/34665/
13. http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=782
14. http://www.us-cert.gov/cas/techalerts/TA09-104A.html


声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技