首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2008-02)

NSFOCUS安全小組([email protected])
//www.nsfocus.com

微軟發布2月份安全公告 修復多個嚴重安全漏洞

發布日期:2008-02-14


綜述:
======
微軟發布了2月份的11篇安全公告,這些公告描述并修復了17個安全漏洞,其中10個漏
洞屬于“緊急”風險級別。攻擊者利用這些漏洞可能遠程入侵并完全控制客戶端系統。

我們強烈建議使用Windows操作系統的用戶立刻檢查一下您的系統是否受此漏洞影響,
并按照我們提供的解決方法予以解決。

分析:
======
微軟發布了2月份的11篇最新的安全公告:MS08-003到MS08-013。這些安全公告分別描
述了17個安全問題,分別是有關各版本的Microsoft Windows、Office和IE等產品中的
漏洞。

1. MS08-003 - 活動目錄中的漏洞可能導致拒絕服務(946538)

    - 受影響軟件:
    
    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系統)以及Windows Server 2003
    SP2(用于基于Itanium的系統)
                  
    - 漏洞描述:

    由于沒有正確的驗證特制的LDAP請求,Microsoft Windows 2000和Windows Server
    2003上的活動目錄實現存在拒絕服務漏洞;此外Windows XP和Windows Server 2003
    上所安裝的活動目錄應用模式(ADAM)實現也存在這個漏洞。成功利用這個漏洞
    的攻擊者可能導致計算機停止響應并自動重啟。
    
    風險級別和漏洞標識
__________________________________________________
|受影響軟件       |活動目錄漏洞     |總體風險級別 |
|                 |CVE-2008-0088    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows 2000     |重要             | 重要        |
|SP4上的活動目錄  |拒絕服務         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |中等             | 中等        |
|SP2上安裝的ADAM  |拒絕服務         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |中等             | 中等        |
|x64版和XP Pro SP2|拒絕服務         |             |
|上的ADAM         |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |中等             | 中等        |
|2003 SP1和Windows|拒絕服務         |             |
|Server 2003 SP2  |                 |             |
|上的活動目錄     |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |中等             | 中等        |
|2003 SP1和Windows|拒絕服務         |             |
|Server 2003 SP2  |                 |             |
|上安裝的ADAM     |                 |             |
|_________________|_________________|_____________|
|Windows Server   |中等             | 中等        |
|2003 x64版和     |拒絕服務         |             |
|Windows Server   |                 |             |
|2003 x64版SP2上的|                 |             |
|活動目錄         |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |中等             | 中等        |
|2003 x64版和     |拒絕服務         |             |
|Windows Server   |                 |             |
|2003 x64版SP2上安|                 |             |
|裝的ADAM         |                 |             |
|_________________|_________________|_____________|
|Windows Server   |中等             | 中等        |
|2003 for         |拒絕服務         |             |
|Itanium-based    |                 |             |
|Systems和Windows |                 |             |
|Server 2003 with |                 |             |
|SP1 for Itanium- |                 |             |
|based Systems上的|                 |             |
|活動目錄         |                 |             |
|_________________|_________________|_____________|                    
          
    - 臨時解決方案:

    * 在周邊防火墻阻斷TCP 389和3268端口
    * 在受影響的系統上使用IPSec阻斷受影響的端口
                          
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶的
    "Windows update"功能下載最新補丁。
    
    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS08-003.mspx
    
2. MS08-004 - Windows TCP/IP中的漏洞可能導致拒絕服務(946456)

    - 受影響系統:
    
    Windows Vista
    Windows Vista x64 Edition
    
    - 漏洞描述:
    
    Windows Vista的TCP/IP棧處理從DHCP服務器接收到報文的方式存在拒絕服務漏洞。
    攻擊者可以創建特制的DHCP服務器,該服務器會向主機返回特制報文,破壞TCP/IP
    結構,導致受影響系統停止響應并自動重啟。

    風險級別和漏洞標識
__________________________________________________
|受影響軟件       |Vista TCP/IP漏洞 |總體風險級別 |
|                 |CVE-2008-0084    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Vista    |重要             | 重要        |
|                 |拒絕服務         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Vista    |重要             | 重要        |
|x64 Edition      |拒絕服務         |             |
|_________________|_________________|_____________|
    
    - 臨時解決方案:
    
    * 為客戶端機器分配靜態的IP地址而不是自動請求IP地址:
    
    1. 在客戶端機器上,點擊“控制面板”,然后點擊“網絡和共享中心”
    2. “本地連接”然后點擊“查看狀態”
    3. 點擊“屬性”
    4. 點擊“Internet協議版本4(TCP/IPv4)”然后點擊“屬性”
    5. 選擇“使用下面的IP地址”然后輸入IP地址、子網掩碼、默認網關和首選DNS服
       務器
    6. 點擊“確定”
  
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶
    的"Windows update"功能下載最新補丁。

    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/downloads/details.aspx?familyid=8ce9608b-7049-47cd-adc4-22a803877d33
    //www.microsoft.com/downloads/details.aspx?familyid=d7b9c3d1-9c23-4e05-bac6-d0b327feaf53

3. MS08-005 - Internet信息服務中的漏洞可能導致權限提升(942831)

    - 受影響軟件:
    
    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系統)以及Windows Server 2003
    SP2(用于基于Itanium的系統)
    Windows Vista
    Windows Vista x64 Edition
                  
    - 漏洞描述:

    Internet信息服務處理FTPRoot、NNTPFile\Root和WWWRoot文件夾中文件變化通知
    的方式存在本地權限提升漏洞,成功利用這個漏洞的攻擊者可以在本地系統安全
    環境中執行任意代碼。
    
    風險級別和漏洞標識
__________________________________________________
|受影響軟件       |文件更改通知漏洞 |總體風險級別 |
|                 |CVE-2008-0074    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows 2000     |重要             | 重要        |
|SP4上的IIS 5.0   |權限提升         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |重要             | 重要        |
|SP2上的IIS 5.1   |權限提升         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |重要             | 重要        |
|x64版和x64版SP2  |權限提升         |             |
|上的IIS 5.1      |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |重要             | 重要        |
|2003 SP1和Windows|權限提升         |             |
|Server 2003 SP2  |                 |             |
|上的IIS 6.0      |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 x64版和     |重要             | 重要        |
|Windows Server   |權限提升         |             |
|2003 x64版SP2上的|                 |             |
|IIS 6.0          |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 with SP1 for|重要             | 重要        |
|Itanium-based    |權限提升         |             |
|Systems和Windows |                 |             |
|Server 2003 with |                 |             |
|SP2 for Itanium- |                 |             |
|based Systems上的|                 |             |
|IIS 6.0          |                 |             |
|_________________|_________________|_____________|                    
|Windows Vista上的|重要             | 重要        |
|IIS 7.0          |權限提升         |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Vista    |重要             | 重要        |
|x64 Edition上的  |權限提升         |             |
|IIS 7.0          |                 |             |
|_________________|_________________|_____________|
          
    - 臨時解決方案:

    * 在Windows Server 2003上停止FTP和NNTP服務:
      
      net stop msftpsvc
      net stop nntpsvc

    * 對于用于執行用戶控制ASP頁面的帳號,拒絕對NNTP root、FTP root和WWW root
    文件夾的寫訪問:
    
    cacls c:\inetpub\ftproot /E /P IUSR_WS2003ENTSP1:R
    cacls c:\inetpub\ftproot /E /P USERS:R
    cacls c:\inetpub\nntpfile\root /E /P "ANONYMOUS LOGON":R
    cacls c:\inetpub\nntpfile\root /E /P EVERYONE:R                      
    
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶的
    "Windows update"功能下載最新補丁。
    
    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS08-005.mspx

4. MS08-006 - Internet信息服務中的漏洞可能導致遠程代碼執行(942830)

    - 受影響軟件:
    
    Windows XP Professional Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系統)以及Windows Server 2003
    SP2(用于基于Itanium的系統)
                  
    - 漏洞描述:

    Internet信息服務處理ASP網頁輸入的方式存在遠程代碼執行漏洞,允許攻擊者向
    網站的ASP頁面傳送惡意輸入。成功利用這個漏洞的攻擊者可以在IIS服務器上以WPI
    的權限(默認配置為網絡服務帳號權限)執行任意操作。
    
    風險級別和漏洞標識
__________________________________________________
|受影響軟件       |ASP漏洞          |總體風險級別 |
|                 |CVE-2008-0075    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |重要             | 重要        |
|SP2上的IIS 5.1   |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |重要             | 重要        |
|x64版和x64版SP2  |遠程代碼執行     |             |
|上的IIS 6.0      |                 |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |重要             | 重要        |
|2003 SP1和Windows|遠程代碼執行     |             |
|Server 2003 SP2  |                 |             |
|上的IIS 6.0      |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 x64版和     |重要             | 重要        |
|Windows Server   |遠程代碼執行     |             |
|2003 x64版SP2上的|                 |             |
|IIS 6.0          |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 with SP1 for|重要             | 重要        |
|Itanium-based    |遠程代碼執行     |             |
|Systems和Windows |                 |             |
|Server 2003 with |                 |             |
|SP2 for Itanium- |                 |             |
|based Systems上的|                 |             |
|IIS 6.0          |                 |             |
|_________________|_________________|_____________|                    

    - 臨時解決方案:

    * 在Windows Server 2003上禁用傳統風格ASP:
    
    1. 點擊“開始”、“管理工具”、“Internet信息服務(IIS)管理器”
    2. 點擊服務器名稱邊的加號,然后點擊“Web服務擴展”文件夾
    3. 在右側欄中點擊高亮選擇“Active Server Pages”然后點擊“禁止”  
    
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶的
    "Windows update"功能下載最新補丁。
    
    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS08-006.mspx

5. MS08-007 - WebDAV Mini-Redirector中的漏洞可能允許遠程代碼執行(946026)

    - 受影響軟件:
    
    Windows XP Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系統)以及Windows Server 2003
    SP2(用于基于Itanium的系統)
    Windows Vista
    Windows Vista x64 Edition
                  
    - 漏洞描述:

    WebDAV Mini-Redirector(又被稱為Web客戶端服務)處理特制響應的方式存在堆
    溢出漏洞。如果遠程攻擊者發送了特制的WebDAV響應的話,就可能觸發這個溢出,
    導致完全控制受影響的系統。
    
    風險級別和漏洞標識
__________________________________________________
|受影響軟件       |Mini-Redirector  |總體風險級別 |
|                 |堆溢出漏洞       |             |
|                 |CVE-2008-0080    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP SP2   |緊急             | 緊急        |
|                 |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |緊急             | 緊急        |
|x64版和x64版SP2  |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |重要             | 重要        |
|2003 SP1和Windows|遠程代碼執行     |             |
|Server 2003 SP2  |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 x64版和     |重要             | 重要        |
|Windows Server   |遠程代碼執行     |             |
|2003 x64版SP2    |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 with SP1 for|重要             | 重要        |
|Itanium-based    |遠程代碼執行     |             |
|Systems和Windows |                 |             |
|Server 2003 with |                 |             |
|SP2 for Itanium- |                 |             |
|based Systems    |                 |             |
|_________________|_________________|_____________|                    
|Windows Vista    |緊急             | 緊急        |
|                 |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Vista    |緊急             | 緊急        |
|x64 Edition      |遠程代碼執行     |             |
|_________________|_________________|_____________|
          
    - 臨時解決方案:

    * 禁用Web客戶端服務:
    
    1. 點擊“開始”、“運行”,鍵入Services.msc,然后點擊“確定”
    2. 右擊WebClient服務然后選擇“屬性”
    3. 將啟動類型更改為“禁用”。如果服務仍在運行,點擊“停止”
    4. 點擊“確定”然后退出              
    
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶的
    "Windows update"功能下載最新補丁。
    
    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS08-007.mspx

6. MS08-008 - OLE自動化中的漏洞可能允許遠程代碼執行(947890)

    - 受影響軟件:
    
    Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Professional x64 Edition和Windows XP Professional x64 Edition
    Service Pack 2
    Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service
    Pack 2
    Windows Server 2003 SP1(用于基于Itanium的系統)以及Windows Server 2003
    SP2(用于基于Itanium的系統)
    Windows Vista
    Windows Vista x64 Edition
    Microsoft Office 2004 for Mac
    Microsoft Visual Basic 6.0 Service Pack 6
                  
    - 漏洞描述:

    對象鏈接和嵌入(OLE)自動化處理特制腳本請求的方式存在堆溢出漏洞。如果用
    戶受騙訪問了惡意站點的話,就可能觸發這個溢出,導致以登錄用戶的權限對系
    統進行更改。如果用戶以管理權限登錄的話,攻擊者就可以完全控制受影響的系
    統。
    
    風險級別和漏洞標識
__________________________________________________
|受影響軟件       |OLE堆溢出漏洞    |總體風險級別 |
|                 |CVE-2007-0065    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows 2000     |緊急             | 緊急        |
|SP4              |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP SP2   |緊急             | 緊急        |
|                 |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows XP Pro   |緊急             | 緊急        |
|x64版和x64版SP2  |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Server   |中等             | 中等        |
|2003 SP1和Windows|遠程代碼執行     |             |
|Server 2003 SP2  |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 x64版和     |中等             | 中等        |
|Windows Server   |遠程代碼執行     |             |
|2003 x64版SP2    |                 |             |
|_________________|_________________|_____________|
|Windows Server   |                 |             |
|2003 with SP1 for|中等             | 中等        |
|Itanium-based    |遠程代碼執行     |             |
|Systems和Windows |                 |             |
|Server 2003 with |                 |             |
|SP2 for Itanium- |                 |             |
|based Systems    |                 |             |
|_________________|_________________|_____________|                    
|Windows Vista    |緊急             | 緊急        |
|                 |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Windows Vista    |緊急             | 緊急        |
|x64 Edition      |遠程代碼執行     |             |
|_________________|_________________|_____________|
|Office 2004 for  |緊急             | 緊急        |
|Mac              |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Visual Basic 6.0 |緊急             | 緊急        |
|SP6              |遠程代碼執行     |             |
|_________________|_________________|_____________|
          
    - 臨時解決方案:

    * 在IE中禁止實例化Microsoft Forms 2.0 ImageActiveX控件,將以下文本保存
    為.reg文件并導入:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4C599241-6926-101B-9992-00000B65C6F9}]
"Compatibility Flags"=dword:00000400

    * 配置Internet Explorer在運行活動腳本之前提示,或在Internet和本地intranet
    安全區中禁用活動腳本
    * 將Internet和本地intranet安全區設置為“高”以便在這些區中運行ActiveX控件
    和活動腳本之前提示。
        
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶的
    "Windows update"功能下載最新補丁。
    
    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS08-008.mspx

7. MS08-009 - Microsoft Word中的漏洞可能允許遠程代碼執行(947077)

    - 受影響軟件:
    
    Microsoft Office 2000 Service Pack 3
    Microsoft Office XP Service Pack 3
    Microsoft Office 2003 Service Pack 2
    Microsoft Office Word Viewer 2003
                  
    - 漏洞描述:

    如果用戶受騙使用Word打開了特制的.DOC文件的話,就可能觸發內存破壞,導致
    執行任意代碼。
    
    風險級別和漏洞標識
__________________________________________________
|受影響軟件       |Word內存破壞漏洞 |總體風險級別 |
|                 |CVE-2008-0109    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Word 2000 SP3    |緊急             | 緊急        |
|                 |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Word 2002 SP3    |重要             | 重要        |
|                 |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Word 2003 SP2    |重要             | 重要        |
|                 |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Office Word      |重要             | 重要        |
|Viewer 2003      |遠程代碼執行     |             |
|_________________|_________________|_____________|

    - 臨時解決方案:

    * 在打開未知或不可信任來源的文件時,使用Microsoft Office隔離轉換環境(MOICE)
    * 使用Microsoft Office文件阻斷策略以防止打開未知或不可信任來源的Office
    2003及更早版本的文檔??墑褂靡韻倫⒉岜斫瘧疚狾ffice 2003設置文件阻斷策略:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\FileOpenBlock]

"BinaryFiles"=dword:00000001
        
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶的
    "Windows update"功能下載最新補丁。
    
    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS08-009.mspx

8. MS08-010 - Internet Explorer累積安全更新(944533)

    - 受影響軟件:
    
    Internet Explorer 5.01
    Internet Explorer 6 Service Pack 1
    Internet Explorer 6
    Internet Explorer 7
                  
    - 漏洞描述:

    Internet Explorer解釋某些布局組合的HTML文件、處理屬性方式及圖形處理中驗
    證參數的方式存在多個內存破壞漏洞;Internet Explorer所使用的一個Microsoft
    Fox Pro組件也存在內存破壞漏洞。如果用戶受騙訪問了惡意網頁的話,就可以觸
    發這些漏洞,導致執行任意代碼。
        
    風險級別和漏洞標識
____________________________________________________________________________
|受影響軟件|HTML渲染     |屬性內存     |參數處理內存 |ActiveX對象  |所有漏洞|
|          |內存破壞漏洞 |破壞漏洞     |破壞漏洞     |內存破壞漏洞 |總體風險|
|          |CVE-2008-0076|CVE-2008-0077|CVE-2008-0078|CVE-2007-4790|級別    |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|IE 5.01和 |             |             |             |             |        |
|6 SP1     |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|2000 SP4  |緊急         |不適用       |緊急         |緊急         | 緊急   |
|上的IE    |遠程執行代碼 |             |遠程執行代碼 |遠程執行代碼 |        |
|5.01 SP4  |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|2000 SP4  |緊急         |緊急         |緊急         |緊急         | 緊急   |
|上的IE 6  |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |        |
|SP1       |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|IE 6      |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|XP SP2上的|緊急         |緊急         |緊急         |緊急         | 緊急   |
|IE 6      |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|XP x64版和|緊急         |緊急         |緊急         |緊急         | 緊急   |
|XP x64 SP2|遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |        |
|的IE 6    |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|Server    |             |             |             |             |        |
|2003 SP1  |緊急         |中等         |中等         |中等         | 緊急   |
|和Server  |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |        |
|2003 SP2  |             |             |             |             |        |
|的IE 6    |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|Server    |             |             |             |             |        |
|2003 x64  |緊急         |中等         |中等         |中等         | 緊急   |
|和Server  |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |        |
|2003 x64  |             |             |             |             |        |
|SP2的IE 6 |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|Server    |             |             |             |             |        |
|2003 SP1  |緊急         |中等         |中等         |中等         | 緊急   |
|(基于     |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |        |
|Itanium的 |             |             |             |             |        |
|系統)和   |             |             |             |             |        |
|Server2003|             |             |             |             |        |
|SP2(基于  |             |             |             |             |        |
|Itanium的 |             |             |             |             |        |
|系統的IE 6|             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|IE 7      |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|XP SP2的  |緊急         |緊急         |緊急         |重要         | 緊急   |
|IE 7      |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|XP x64版和|緊急         |緊急         |緊急         |重要         | 緊急   |
|XP x64 SP2|遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |        |
|的IE 7    |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|Server    |             |             |             |             |        |
|2003 SP1  |緊急         |中等         |中等         |低           | 緊急   |
|和Server  |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |        |
|2003 SP2  |             |             |             |             |        |
|的IE 7    |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|Server    |             |             |             |             |        |
|2003 x64  |緊急         |中等         |中等         |低           | 緊急   |
|和Server  |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |        |
|2003 x64  |             |             |             |             |        |
|SP2的IE 7 |             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|Server    |             |             |             |             |        |
|2003 SP1  |緊急         |中等         |中等         |低           | 緊急   |
|(基于     |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |        |
|Itanium的 |             |             |             |             |        |
|系統)和   |             |             |             |             |        |
|Server2003|             |             |             |             |        |
|SP2(基于  |             |             |             |             |        |
|Itanium的 |             |             |             |             |        |
|系統的IE 7|             |             |             |             |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|Vista中的 |緊急         |緊急         |緊急         |重要         | 緊急   |
|IE 7      |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |        |
|__________|_____________|_____________|_____________|_____________|________|
|          |             |             |             |             |        |
|Vista x64 |緊急         |緊急         |緊急         |重要         | 緊急   |
|版中的IE 7|遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |遠程執行代碼 |        |
|__________|_____________|_____________|_____________|_____________|________|
          
    - 臨時解決方案:

    * 禁止在Internet Explorer中運行COM對象
    * 配置Internet Explorer在運行活動腳本之前提示,或在Internet和本地intranet
    安全區中禁用活動腳本
    * 將Internet和本地intranet安全區設置為“高”以便在這些區中運行ActiveX控件
    和活動腳本之前提示。
        
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶的
    "Windows update"功能下載最新補丁。
    
    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS08-010.mspx

9. MS08-011 - Microsoft Works文件轉換器中的漏洞可能允許遠程代碼執行(947081)

    - 受影響軟件:
    
    Microsoft Office 2003 Service Pack 2
    Microsoft Office 2003 Service Pack 3
    Microsoft Works 8.0
    Microsoft Works Suite 2005
                  
    - 漏洞描述:

    Microsoft Works文件轉換器沒有正確的驗證.wps格式的分段長度頭、分段頭索引
    表信息及其他字段長度信息,如果用戶受騙打開了惡意的Office文件的話,就可
    能觸發這些漏洞,導致執行任意代碼。
    
    風險級別和漏洞標識
_________________________________________________________________
|受影響軟件 |Works文件轉換 |Works文件轉換|Works文件轉換 |所有漏洞|
|           |器輸入驗證漏洞|器索引表漏洞 |器字段長度漏洞|總體風險|
|           |CVE-2007-0216 |CVE-2008-0105|CVE-2008-0108 |級別    |
|___________|______________|_____________|______________|________|
|           |              |             |              |        |
|Office 2003|中等          |中等         |中等          |中等    |
|上的Works 6|遠程代碼執行  |遠程代碼執行 |遠程代碼執行  |        |
|文件轉換器 |              |             |              |        |
|___________|______________|_____________|______________|________|
|           |              |             |              |        |
|Works 8.0  |重要          |重要         |重要          |重要    |
|上的Works 6|遠程代碼執行  |遠程代碼執行 |遠程代碼執行  |        |
|文件轉換器 |              |             |              |        |
|___________|______________|_____________|______________|________|
|           |              |             |              |        |
|Works Suite|重要          |重要         |重要          |重要    |
|2005上的   |遠程代碼執行  |遠程代碼執行 |遠程代碼執行  |        |
|Works 6    |              |             |              |        |
|文件轉換器 |              |             |              |        |
|___________|______________|_____________|______________|________|

    - 臨時解決方案:

    * 通過限制對WKCVQD01.DLL的訪問來禁用Works文件轉換器的安裝拷貝,在命令行
    運行以下命令:
    
    Windows XP:

Echo y| cacls "%ProgramFiles%\Common Files\Microsoft shared\TextConv\wkcvqd01.dll" /E /P everyone:N

    Windows Vista:

Takeown.exe /f "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll"
Icacls.exe "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll" /save %TEMP%\wkcvqd01 _ACL.TXT
Icacls.exe "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll" /deny everyone:(F)

    * 禁止安裝WKCVQD01.DLL,在命令行運行以下命令:
    
    Windows XP:

md "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\"
echo Placeholder > "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll"
Echo y| cacls "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll" /E /P everyone:N

    Windows Vista:

md "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\"
echo Placeholder > "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll"
Icacls.exe "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll" /deny everyone:(F)

    * 不要打開或保存不可信任來源的Microsoft Works文件。
            
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶的
    "Windows update"功能下載最新補丁。
    
    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS08-011.mspx

10. MS08-012 - Microsoft Office Publisher中的漏洞可能允許遠程代碼執行(947085)

    - 受影響軟件:
    
    Microsoft Office 2000 Service Pack 3
    Microsoft Office XP Service Pack 3
    Microsoft Office 2003 Service Pack 2
                  
    - 漏洞描述:

    Microsoft Office Publisher在將Publisher文件加載到內存時沒有正確的驗證應
    用程序數據,在打開特制的Publisher文件時沒有驗證內存索引值。如果用戶受騙
    打開了惡意.pub文件的話,就可能觸發內存破壞,導致執行任意代碼。
    
    風險級別和漏洞標識
___________________________________________________
|受影響軟件 |Publisher無效 |Publisher    |所有漏洞|
|           |內存引用漏洞  |內存破壞漏洞 |總體風險|
|           |CVE-2008-0102 |CVE-2008-0102|級別    |
|___________|______________|_____________|________|
|           |              |             |        |
|Publisher  |緊急          |緊急         |緊急    |
|2000 SP3   |遠程代碼執行  |遠程代碼執行 |        |
|___________|______________|_____________|________|
|           |              |             |        |
|Publisher  |重要          |重要         |重要    |
|2002 SP3   |遠程代碼執行  |遠程代碼執行 |        |
|___________|______________|_____________|________|
|           |              |             |        |
|Publisher  |重要          |重要         |重要    |
|2003 SP2   |遠程代碼執行  |遠程代碼執行 |        |
|___________|______________|_____________|________|

    - 臨時解決方案:

    * 不要打開或保存不可信任來源的Microsoft Office文件。
            
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶的
    "Windows update"功能下載最新補丁。
    
    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS08-012.mspx

11. MS08-013 - Microsoft Office中的漏洞可能允許遠程代碼執行(947108)

    - 受影響軟件:
    
    Microsoft Office 2000 Service Pack 3
    Microsoft Office XP Service Pack 3
    Microsoft Office 2003 Service Pack 2
    Microsoft Office 2004 for Mac
                  
    - 漏洞描述:

    Microsoft Office在處理注入了畸形對象的Office文件時存在內存破壞漏洞。如
    果用戶受騙打開了特制的Office文件的話,就可能觸發這個漏洞,導致執行任意
    代碼。
    
    風險級別和漏洞標識
__________________________________________________
|受影響軟件       |Office執行跳轉   |總體風險級別 |
|                 |漏洞             |             |
|                 |CVE-2008-0103    |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Office 2000 SP3  |緊急             | 緊急        |
|                 |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Office 2002 SP3  |重要             | 重要        |
|                 |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Office 2003 SP2  |重要             | 重要        |
|                 |遠程代碼執行     |             |
|_________________|_________________|_____________|
|                 |                 |             |
|Office 2004 for  |重要             | 重要        |
|Mac              |遠程代碼執行     |             |
|_________________|_________________|_____________|

    - 臨時解決方案:

    * 限制對VBE6.dll的訪問,在命令行鍵入:
    
    Windows XP:

Echo y|cacls "%ProgramFiles%\common files\microsoft shared\vba\vba6\vbe6.dll" /E /P everyone:N

    Windows Vista:

Takeown.exe /f "%ProgramFiles%\common files\microsoft shared\vba\vba6\vbe6.dll"
Icacls.exe "%ProgramFiles%\common files\microsoft shared\vba\vba6\vbe6.dll" /save %TEMP%\VBE6_ACL.TXT
Icacls.exe "%ProgramFiles%\common files\microsoft shared\vba\vba6\vbe6.dll" /deny everyone:(F)
    
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶的
    "Windows update"功能下載最新補丁。
    
    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS08-013.mspx

附加信息:
==========
1. //www.microsoft.com/china/technet/security/bulletin/MS08-003.mspx
2. //www.microsoft.com/china/technet/security/bulletin/MS08-004.mspx
3. //www.microsoft.com/china/technet/security/bulletin/MS08-005.mspx
4. //www.microsoft.com/china/technet/security/bulletin/MS08-006.mspx
5. //www.microsoft.com/china/technet/security/bulletin/MS08-007.mspx
6. //www.microsoft.com/china/technet/security/bulletin/MS08-008.mspx
7. //www.microsoft.com/china/technet/security/bulletin/MS08-009.mspx
8. //www.microsoft.com/china/technet/security/bulletin/MS08-010.mspx
9. //www.microsoft.com/china/technet/security/bulletin/MS08-011.mspx
10. //www.microsoft.com/china/technet/security/bulletin/MS08-012.mspx
11. //www.microsoft.com/china/technet/security/bulletin/MS08-013.mspx
12. //secunia.com/advisories/28909/
13. //secunia.com/advisories/28904/
14. //secunia.com/advisories/28903/
15. //secunia.com/advisories/28902/
16. //secunia.com/advisories/28901/
17. //secunia.com/advisories/28894/
18. //secunia.com/advisories/28893/
19. //secunia.com/advisories/28849/
20. //secunia.com/advisories/28828/
21. //secunia.com/advisories/28764/
22. //secunia.com/advisories/28906/
23. //labs.idefense.com/intelligence/vulnerabilities/display.php?id=659
24. //labs.idefense.com/intelligence/vulnerabilities/display.php?id=660
25. //labs.idefense.com/intelligence/vulnerabilities/display.php?id=661
26. //www.zerodayinitiative.com/advisories/ZDI-08-006.html
27. //www.us-cert.gov/cas/techalerts/TA08-043C.html

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/?;?、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: //www.nsfocus.com

© 2019 綠盟科技