漏洞简述：

由于TCP/IP栈没有正确地清除状态信息，导致Windows TCP/IP栈中存在远程代码执行漏洞。这会导致TCP/IP栈引用包含有其他信息的字段为函数指针。匿名攻击者可以通过向在网络上监听服务的计算机发送特制的TCP/IP报文来利用这个漏洞，成功利用这个漏洞的攻击者可以完全控制受影响的系统；攻击者之后可以安装程序、查看、更改或删除数据，或创建拥有完全用户权限的新账号

详细描述:

TCP/IP栈是windows内核的一部分，处理像IP，TCP和UDP这样的底层网络协议。CVE-2009-1925漏洞能使得攻击者在某种条件下导致TCP/IP栈执行某个无效的地址处的代码。这可由远程匿名攻击者完成。由于在一个无效的地址处执行代码有可能产生杠杆效应，从而使攻击者获得RCE，所以我们在公告牌上把这种“最糟的情况”列为Critical危害等级。

为什么利用指数却是Medium呢？

利用指数是用来指导打补丁的优先次序的。利用指数是基于一个可被利用的可靠的执行代码在漏洞发布后30天内被制作成功的可能性而发布的。

基于以下几种原因，我们并不认为关于这个漏洞的一个可被利用的可靠执行代码会被做出来：

• 这个漏洞是由于TCP/IP没有正确的使用一个包含有TCP连接所使用的哈希值的域，它将该哈希值看做了一个函数指针。
• 该哈希值由Toeplitz Hash算法算得。该哈希算法使用一个随机密钥（key）作为输入。
• 这个密钥并不为攻击者所知，也不在攻击者的控制之下，这就意味着最终的哈希值也是不在攻击者的控制之下的。
• 这个有效的方法意味着被当做一个函数指针所调用的地址是一个随机值，该值不能被攻击者预测。
• 攻击者也许能够用他们的恶意载荷来“喷洒”内核地址，这将增加随机地址处于他们所控制的数据之内，但这仍是不可靠的。

鉴于以上原因，除非攻击者知道目标计算机使用的随机密钥的详细信息，RCE攻击都是不可靠的。因此我们把该漏洞的利用指数指定为Medium。

但攻击者可以利用该漏洞引发一个可靠的系统级别的DoS攻击。

相关链接：

1. Microsoft Exploitability Index, http://technet.microsoft.com/en-us/security/cc998259.aspx

2.http://blogs.technet.com/srd/archive/2009/09/08/ms09-048-tcp-ip-vulnerabilities.aspx