分类:
2008-09-09 17:14:57
最近一次批量修正和IE中的7个关键缺陷,阻止了2个0-day漏洞。
微软公司近期发布了7个公告,弥补了、Internet Explorer, Windows Media Player以及操作系统其它部分中的11个漏洞。其中2个bug已经被攻击者探测到,微软对此进行了确认。
在7个升级中,3个标定等级为关键——这是微软所使用的最高等级——其余的4个标记为重要,是微软公司4级评分系统中第二高的级别分类。
3个关键公告中,修正了Windows媒体播放器和IE所使用的Windows媒体格式运行时,DirectX中的7个不同的漏洞,今天一些专家说,这些漏洞需要尽快修正。“这是你能想到的最糟糕的一种客户端的弱点,”nCircle公司的安全运营主管Andrew Storms说。“这三个都是处理多媒体内容的。”
“很明显,攻击者们不再发送malware和偷渡式转链接的攻击了”Storms补充说。
Amol Sarwate,Qualys公司弱点实验室的经理,在关于他执行补丁的选择以及他的理由方面都附和了Storms的说法。“这三个标记为关键的公告(包括弱点)都是那种我们曾经见过的攻击者将目标瞄准普通桌面用户,而不是去尝试攻击的类型。”
但是,Sarwate提供了更多的细节,他详细指出了今天的补丁中最严重的单个bug :MS07-069,这个公告解决了IE6和IE7种的4个弱点,他建议这个公告应该首先部署,因为其中的任何一个缺陷都已经被攻击者们探测到了。“DHTML 0天漏洞非常重要,必须要打补丁,”Sarwate说。
这3个关键的升级——MS07-064, MS07-068 以及 MS07-069——再分别加上DirectX,Windows媒体格式运行时,以及IE6和IE7.那些升级中覆盖到的7个弱点中的6个都被确认为对Windows Vista十分关键,而微软以前曾经吹捧过Vista是有史以来安全性最高的。
MS07-064 消除了DirectX处理多个流视频文件格式时的一些bug;攻击者们会利用这些弱点让用户们看到被非法操控的流媒体,微软说。
“这是十分重大的,因为许多应用程序——还有Windows自身——都使用DirectX来传送多媒体内容,”Storms说,他还提醒道,“。wav文件,。avi文件和SAMI(同步可访问媒体)文件十分常见,被很多很多的网站使用。”用户们已经习惯于打开这样的格式,他补充说,这就是让攻击文件更有可能通过检查。
MS07-068,Storms说,“几乎就是完全一样的,”因为它还涉及了文件格式解析bug,他说。Windows媒体格式运行时,作为Windows媒体播放器的一部分,也是Windows其它部分用来显示内容的一个组件,它无法正确处理。asf(高级系统格式)文件。这是微软私有的流媒体文件格式。
MS07-069对IE6和IE7的升级,修正了4个缺陷,这4个缺陷对于Windows 2000,XP和Vista来说都是关键级别的,但是对Windows Server 2003来说是中等级别。其中的三个是浏览器中的内存修改问题,而第四个则是出现于IE表现使用了动态HTML代码的页面上。根据微软所说,DHTML bug已经被发现,这使得弱点变成“0天”弱点。
另外,今天MS07-067还处理了第二个0天bug,它为Macrovision公司的驱动程序提供了一个升级,这个驱动程序已经在攻击中出现超过一个月了。尽管Macrovision在几个星期前已经为Windows XP和Server 2003提供了一个替代的驱动程序,微软还是没有在11月份的补丁中加入对这个驱动程序的修正,因为他们需要更多的时间去准备和测试升级。
此外,在今天的批处理补丁中,还有2个公告——MS07-063 和 MS07-066——这两个公告只影响Windows Vista.这2个升级的标记等级是重要,而不是关键,尽管微软承认它们可能会导致远程代码执行。
“这些都是相当具有威胁性的bug,但是还有相当的缓和因素让它们不至于成为最高级别的bug,”Storms说。他和Sarwate都认为攻击者们必须拥有有效的信任书,并且必须本地登录,从而探测到MS07-066修正的补丁,然而其它仅针对Vista弱点的影响力则是有限的,因为受到影响的Server Message Block Version 2, 或者 SMBv2的部分,在默认情况下并没有打开。
但是即使打了大量的补丁——微软自8月份以来发布的绝大多数补丁——仍然至少有六分之一被遗漏了,Sarwate说。“WPAD还没有被解决,”他说,这是8天前微软确认的存在于Web代理自动发现(Web Proxy Auto-Discovery servers)上的缺陷。
这7个升级可以通过微软的Update和Windows Update服务来并安装,还可以通过Windows 服务器升级服务(WSUS)完成。