首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2009-01)

NSFOCUS安全小組([email protected])
//www.nsfocus.com

微軟發布4月份安全公告 修復多個嚴重安全漏洞

發布日期:2009-04-15


綜述:
======
微軟發布了4月份的8篇安全公告,這些公告描述并修復了23個安全漏洞,其中8個漏
洞屬于“緊急”風險級別。攻擊者利用這些漏洞可能遠程入侵并完全控制客戶端系統。

我們強烈建議使用Windows操作系統的用戶立刻檢查一下您的系統是否受此漏洞影響,
并按照我們提供的解決方法予以解決。

分析:
======
微軟發布了4月份的8篇最新的安全公告:MS09-009到MS08-016。這些安全公告描述了
23個安全問題,分別是有關Windows操作系統、IE瀏覽器、Office組件、DirectShow、
ISA Server和Forefront TMG中的漏洞。

1. MS09-009 - Microsoft Excel中的漏洞可能允許遠程執行代碼(968557)

    - 受影響軟件和系統:

    Microsoft Office Excel 2000 Service Pack 3
    Microsoft Office Excel 2002 Service Pack 3
    Microsoft Office Excel 2003 Service Pack 3
    Microsoft Office Excel 2007 Service Pack 1
    Microsoft Office 2004 for Mac
    Microsoft Office 2008 for Mac
    Microsoft Office Excel Viewer 2003 Service Pack 3
    Microsoft Office Excel Viewer
    用于 Word、Excel和PowerPoint 2007文件格式Service Pack 1的Microsoft Office
    兼容包

    - 漏洞描述:

    如果用戶打開帶有畸形對象的特制Excel文件,Office Excel中的漏洞可能允許遠
    程執行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統,攻擊者可隨
    后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。

  - 臨時解決方案:

    * 在Excel客戶端系統上,打開未知或不可信任來源的文件時,使用Microsoft Office
    隔離轉換環境(MOICE)

    * 在Excel客戶端系統上,使用Microsoft Office文件阻斷策略以防止打開未知或
    不可信任來源的Office 2003及更早版本的文檔。

    - 廠商補丁:

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶的
    "Windows update"功能下載最新補丁。

    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS09-009.mspx

2. MS09-010 - 寫字板和Office文本轉換器中的漏洞可能允許遠程執行代碼(960477)

    - 受影響系統:

    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2和Service Pack 3
    Windows XP Professional x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 1和Service Pack 2
    Windows Server 2003 x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 with SP1 for Itanium-based Systems和Server 2003 with
    SP2 for Itanium-based Systems
    Microsoft Office Word 2000 Service Pack 3
    Microsoft Office Word 2002 Service Pack 3
    Microsoft Office Converter Pack

    - 漏洞描述:

    Microsoft寫字板和Office文本轉換器中存在多個內存破壞和棧溢出漏洞。如果用
    戶打開了特制的Word 6、Word 97、WordPerfect或Word文檔的話,這些漏洞可能
    允許遠程執行代碼。

    - 臨時解決方案:

    * 不要使用受影響版本的寫字板或Microsoft Office打開或保持從不可信任來源
    接收到的或從可信任來源意外接收到的Microsoft Office文件。
    
    * 禁用Word 6轉換器和Office文本轉換器。

    - 廠商補丁:

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶
    的"Windows update"功能下載最新補丁。

    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS09-010.mspx

3. MS09-011 - Microsoft DirectShow中的漏洞可能允許遠程代碼執行(961373)

    - 受影響系統:

    DirectX 8.1
    DirectX 9.0

    - 漏洞描述:

    Microsoft DirectShow處理受支持格式文件的方式存在漏洞,如果用戶受騙打開
    了特制的MJPEG文件就會導致執行任意代碼。

    - 臨時解決方案:

    * 在Quartz.dll中禁止解碼MJPEG內容。
    
    * 注銷quartz.dll。

    - 廠商補丁:

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶
    的"Windows update"功能下載最新補丁。

    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS09-011.mspx

4. MS09-012 - Windows中的安全漏洞可能導致權限提升(959454)

    - 受影響軟件:

    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2和Service Pack 3
    Windows XP Professional x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 1和Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 with SP1 for Itanium-based Systems和Server 2003 with
    SP2 for Itanium-based Systems
    Windows Vista和Windows Vista Service Pack 1
    Windows Vista x64 Edition和Windows Vista x64 Edition Service Pack 1
    Windows Server 2008 for 32-bit Systems
    Windows Server 2008 for x64-based Systems
    Windows Server 2008 for Itanium-based Systems

    - 漏洞描述:

    Microsoft Windows平臺上的MSDTC事件處理工具、WMI提供程序和RPCSS服務存在
    多個權限提升漏洞;此外Windows沒有正確的對當前ThreadPool中的線程設置ACL,
    這都允許登錄到系統的攻擊者以提升的權限執行任意代碼。

    - 臨時解決方案:

    * 對于IIS 6.0,對IIS中的應用程序池配置WPI以使用IIS管理器中創建的賬號并
    禁用MSDTC。
        
    * 對于IIS 7.0,對IIS管理器中的應用程序池指定WPI。
    
    * 對于IIS 7.0,使用APPCMD.exe命令行工具對應用程序池指定WPI。
    
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶
    的"Windows update"功能下載最新補丁。

    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS09-012.mspx

5. MS09-013 - Windows HTTP服務中的安全漏洞可能允許遠程執行代碼(960803)

    - 受影響軟件:

    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2和Service Pack 3
    Windows XP Professional x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 1和Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 with SP1 for Itanium-based Systems和Server 2003 with
    SP2 for Itanium-based Systems
    Windows Vista和Windows Vista Service Pack 1
    Windows Vista x64 Edition和Windows Vista x64 Edition Service Pack 1
    Windows Server 2008 for 32-bit Systems
    Windows Server 2008 for x64-based Systems
    Windows Server 2008 for Itanium-based Systems

    - 漏洞描述:

    Windows HTTP服務處理遠程Web服務器所返回的特定值的方式存在整數下溢漏洞,
    沒有正確的驗證數字證書中不同的名稱,處理NTLM憑據時可能重放用戶的憑據。
    遠程攻擊者可以利用這些漏洞完全入侵用戶系統或執行中間人類型的欺騙攻擊。
  
    - 臨時解決方案:

    無

    - 廠商補丁:

     微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶
     的"Windows update"功能下載最新補丁。

     您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
     //www.microsoft.com/china/technet/security/bulletin/MS07-075.mspx    

6. MS09-014 - Internet Explorer累積安全更新(963027)

    - 受影響系統:

    Internet Explorer 5.01 Service Pack 4
    Internet Explorer 6 Service Pack 1
    Internet Explorer 6
    Internet Explorer 7

    - 漏洞描述:

    Internet Explorer中存在多個內存破壞和憑據反射等漏洞。如果用戶受騙打開了
    特制的網頁,或通過HTTP協議連接到了惡意服務器,這些漏洞就可能允許在用戶
    機器上執行任意代碼。

    - 臨時解決方案:

    * 將Internet Explorer配置為在Internet和本地Intranet安全區域中運行活動腳
    本之前進行提示。

    * 將Internet和本地intranet安全區設置為“高”以在運行ActiveX控件和活動腳本
    之前要求提示。
    
    - 廠商補丁:                

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶
    的"Windows update"功能下載最新補丁。

    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS09-014.mspx

7. MS09-015 - SearchPath函數可能允許權限提升(959426)

    - 受影響系統:

    Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2和Service Pack 3
    Windows XP Professional x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 1和Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition和x64 Edition Service Pack 2
    Windows Server 2003 with SP1 for Itanium-based Systems和Server 2003 with
    SP2 for Itanium-based Systems
    Windows Vista和Windows Vista Service Pack 1
    Windows Vista x64 Edition和Windows Vista x64 Edition Service Pack 1
    Windows Server 2008 for 32-bit Systems
    Windows Server 2008 for x64-based Systems
    Windows Server 2008 for Itanium-based Systems

    - 漏洞描述:

    Windows中SearchPath函數鎖定并打開系統上文件的方式存在混合威脅所導致的權
    限提升漏洞。攻擊者可以誘騙用戶將特制文件下載到特定的位置,然后打開在某
    些環境下可能加載該文件的應用程序,以利用這個漏洞執行任意代碼。

    - 臨時解決方案:

    無

    - 廠商補丁:

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶
    的"Windows update"功能下載最新補丁。

    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS09-015.mspx

8. MS09-016 - Microsoft ISA Server和Forefront Threat Management Gateway中的
漏洞可能導致拒絕服務(961759)

    - 受影響系統:

    Microsoft Forefront Threat Management Gateway, Medium Business Edition
    Microsoft Internet Security和Acceleration Server 2004 Service Pack 3
    Microsoft Internet Security和Acceleration Server 2006
    Internet Security和Acceleration Server 2006可支持性升級
    Microsoft Internet Security和Acceleration Server 2006 Service Pack 1

    - 漏洞描述:

    防火墻引擎處理Web代理或Web發布監聽程序的TCP狀態的方式存在拒絕服務漏洞,
    遠程用戶可能導致Web監聽程序停止響應新的請求。
    
    ISA Server或Forefront TMG的HTML表單認證組件cookieauth.dll中存在跨站腳本
    漏洞,可能允許通過運行cookieauth.dll的服務器在其他用戶的機器上運行惡意
    腳本代碼。這是一個非持久性的跨站腳本漏洞,可能導致欺騙和信息泄露。

    - 臨時解決方案:

    無

    - 廠商補丁:

    微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶
    的"Windows update"功能下載最新補丁。

    您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
    //www.microsoft.com/china/technet/security/bulletin/MS09-016.mspx


附加信息:
==========
1. //www.microsoft.com/china/technet/security/bulletin/MS09-009.mspx
2. //www.microsoft.com/china/technet/security/bulletin/MS09-010.mspx
3. //www.microsoft.com/china/technet/security/bulletin/MS09-011.mspx
4. //www.microsoft.com/china/technet/security/bulletin/MS09-012.mspx
5. //www.microsoft.com/china/technet/security/bulletin/MS09-013.mspx
6. //www.microsoft.com/china/technet/security/bulletin/MS09-014.mspx
7. //www.microsoft.com/china/technet/security/bulletin/MS09-015.mspx
8. //www.microsoft.com/china/technet/security/bulletin/MS09-016.mspx
9. //secunia.com/advisories/34687/
10. //secunia.com/advisories/34678/
11. //secunia.com/advisories/34677/
12. //secunia.com/advisories/34665/
13. //labs.idefense.com/intelligence/vulnerabilities/display.php?id=782
14. //www.us-cert.gov/cas/techalerts/TA09-104A.html


聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/?;?、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: //www.nsfocus.com

© 2019 綠盟科技