公告严重性评级解析
安全公告的严重性评级是许多博客读者感兴趣的话题。我们经常听到您认为某个公告应该评级更高或更低。有时甚至会出现对同一问题有人建议提高评级、有人建议降低评级的情况。本文并非支持或反对MSRC评级系统,只是希望您了解我们对每个公告的考量思路。我们的官方漏洞标准虽未公开,但上个月已在本博客文章中指出了近似标准(http://blogs.technet.com/swi/archive/2008/09/09/ms08-055-microsoft-security-response-process-behind-the-scenes.aspx)。如需参考可直接访问:http://msdn.microsoft.com/en-us/library/cc307404.aspx。
MS08-057:Excel漏洞
修复了通过打开畸形Excel电子表格触发的多个Excel漏洞。对于Office 2000用户评级为Critical,因为某些配置下打开网站提供的XLS文件前不会提示。其他受影响平台因会显示打开/保存对话框提示,用户交互(点击提示)将代码执行漏洞从Critical降至Important。
MS08-058:IE六大CVE漏洞
分为三类:
- 前三个IE问题:允许跨域脚本执行。在Windows 2000上,可在本地计算机区域执行脚本的网页能运行任意代码,故评级为Critical。其他平台因启用"本地计算机区域锁定"(LMZ-L)无法直接远程代码执行,风险变为信息泄露(恶意网站可诱骗提交其他域cookie)。Windows Server 2003/2008默认启用增强安全配置(ESC)禁用脚本,跨域脚本失效,故评级从Important降至Low。
- CVE-2008-2947:通过location对象技巧强制在错误域执行脚本
- CVE-2008-3472/3473:通过鼠标和焦点欺骗使IE执行不同区域脚本
- CVE-2008-3474:跨域漏洞,但需受害页面在框架中托管恶意页面才能触发。评级为Important,因广告托管模式中不可信内容托管于可信页面。Windows Server 2003/2008因ESC缓解降至Low。
- 最后两个CVE:直接内存损坏问题。
- CVE-2008-3475:未初始化指针使用
- CVE-2008-3476:脚本方法意外乱序调用 不影响Vista,但在Windows 2000/XP上可导致"路过式"代码执行。Windows Server 2003/2008默认禁用脚本,严重性降至Moderate。
MS08-059:Host Integration Server RPC服务漏洞
团队成员的[详细博客文章]对此有深入说明。
MS08-060:Windows 2000域控制器远程代码执行
评级为Critical。
MS08-061:win32k.sys内核模式漏洞
修复三个权限提升漏洞(从未特权本地用户到ring 0)。Fermin的[文章]有详细说明。
MS08-062:Internet Printing Service漏洞
已发现定向攻击,需认证才能触发的IIS ISAPI过滤器漏洞。远程认证代码执行按漏洞标准评级为Important。
MS08-063:SMB远程代码执行
攻击者需通过认证(或启用Guest账户)才能利用,无法通过空会话共享访问漏洞代码。远程认证代码执行评级为Important。
MS08-064:本地权限提升
允许登录系统的本地攻击者潜在执行ring 0代码,评级为Important。
MS08-065:评级Important
团队成员的[博客文章]有详细解释。
MS08-066:本地权限提升
允许本地攻击者任意位置覆盖16字节内存,评级Important。Fermin的[文章]有详细说明。
安全通报与Killbit
还发布了包含多个控件killbit的安全通报。通过安全通报发布killbit是微软较新的做法,适用于两种场景:
- Microsoft控件已通过先前安全公告修复,后续发布killbit包
- 为第三方产品发布killbit
希望本文帮助您更好理解微软公告评级系统。如有疑问请邮件咨询。
更新于2008年10月16日 - 修复格式。感谢Frank指出!
- Jonathan Ness, SVRD Blogger 文章按"原样"提供,无担保,不授予权利。