评估十月安全公告的风险
今天上午我们发布了13个安全公告,这是2009年规模最大的一次发布。这些公告总共解决了34个独立的CVE。我们希望通过这篇博客文章帮助您优先部署这些更新。
优先级标准
我们在下表中提供了按优先级排序的公告列表。优先级排序基于以下标准:
- 公告根据严重性和可利用性进行分组和排序
- 在每个组内,我们将具有公开可用漏洞利用代码的公告优先于其他公告
- 然后我们列出漏洞技术细节已被广泛讨论的公告,即使没有公开可用的漏洞利用
- 最后,我们考虑影响漏洞利用可靠性的平台缓解措施
优先级表
| 公告 | 最可能的攻击向量 | 公告严重性 | 最大可利用性指数 | 可能的前30天影响 | 平台缓解措施 |
|---|---|---|---|---|---|
| MS09-051(语音编解码器) | 浏览恶意网站或电子邮件附件中的ASF(WMA, WMV)文件 | 严重 | 1 | 我们从合作伙伴处收到有限野外攻击的报告 | 无 |
| MS09-050(SMBv2) | 攻击者发起与易受攻击工作站或服务器的网络连接。这很可能是本地子网上的攻击者,因为SMB通常被边缘防火墙阻止 | 严重 | 1 | 我们了解到可靠的漏洞利用代码已分发给有限数量的客户。我们也知道公开可用的不可靠漏洞利用代码。但我们尚未听说客户因此漏洞被利用。我们预计在未来30天内会有可靠的漏洞利用代码公开 | Windows Vista在"公共"网络配置文件中不受影响 |
| MS09-054(IE) | 浏览恶意网站 | 严重 | 1 | 其中一个已解决的漏洞在BlackHat上公开介绍。发布时我们不知道这些问题的任何活跃利用;但我们预计在未来30天内会有可靠的漏洞利用代码公开 | Windows Server 2003、2008和2008 R2因增强安全配置而风险降低 |
| MS09-061(.NET) | 浏览托管恶意.NET应用程序的网站,该程序在浏览器中运行 | 严重 | 1 | 其中一个漏洞在公共论坛上发布。但我们不知道任何有效的漏洞利用或受影响的客户。我们预计在未来30天内会有可靠的漏洞利用代码公开 | Windows Server 2003、2008和2008 R2因增强安全配置而风险降低 |
| MS09-062(GDI+) | 浏览恶意网站或点击电子邮件附件中的图像 | 严重 | 1 | 所有已解决的漏洞都已负责任地披露。我们预计在未来30天内会有可靠的漏洞利用代码公开 | Windows Server 2003和2008因增强安全配置而风险降低 |
| MS09-052(WMP) | 浏览恶意网站或电子邮件附件中的ASF(WMA, WMV)文件 | 严重 | 1 | 此漏洞已负责任地披露。我们预计攻击者可以开发可靠的漏洞利用;但只有装有Windows Media Player 6.4的系统易受攻击。因此,攻击者选择为此漏洞编写漏洞利用的可能性较低 | 无 |
| MS09-055, MS09-060(ActiveX, Office ATL) | 浏览以恶意方式实例化ActiveX控件的恶意网站 | 严重 | 1 | 到目前为止,在现实世界中唯一被利用的ATL相关漏洞是msvidctl.dll,由MS09-032解决。没有其他ATL漏洞被利用。我们预计IE的纵深防御缓解措施加上构建自定义ATL流的难度会使这些漏洞不太可能被利用 | 无 |
| MS09-057(query.dll) | 浏览以恶意方式编写ActiveX控件脚本的网站 | 重要 | 2 | 此漏洞已负责任地披露。由于漏洞的性质,此漏洞不太可能看到公开可用的可靠漏洞利用 | 无 |
| MS09-053(IIS) | FTP服务器需要授予不受信任的用户访问权限以登录并创建特制目录。如果攻击者能够成功利用此漏洞,他们可以在LocalSystem的上下文中执行代码,这是FTP服务运行的服务。IIS5和IIS6受影响 | 重要 | 1 | 此问题有公开的漏洞利用可用 | Windows Server 2003上的Internet Information Services 6.0风险降低,因为它是使用/GS编译器选项编译的 |
| MS09-059(LSASS) | 攻击者发起与易受攻击工作站或服务器的网络连接。LSASS崩溃并强制机器重启 | 重要 | 3 | 此问题已负责任地披露。此漏洞的影响仅为拒绝服务 | 无 |
| MS09-058(内核) | 具有登录权限和运行任意可执行文件能力的非特权用户可以在本地危害系统 | 重要 | 2 | 我们很少看到在发布后30天内为本地权限提升漏洞开发漏洞利用 | 无 |
| MS09-056(x.509) | 欺骗威胁 | 重要 | 3 | 攻击细节是公开的但代码执行不可能。我们已经看到欺骗威胁的有限利用 | 无 |
在决定按什么顺序应用更新时,考虑您组织的潜在攻击面非常重要。例如,如果您授予不受信任的用户FTP访问权限,MS09-053可能是对您最关键的安全更新,尽管其评级为"重要"。如果您的组织没有Windows Vista或Windows Server 2008系统,MS09-050对您来说相关性较低,因为早期系统不支持SMBv2。
本月SRD博客文章
除此之外,我们还写了几篇博客文章,帮助您更深入地了解这些漏洞,并在准备部署这些更新时进行更明智的风险分析。以下是涵盖的主题:
- MS09-051: Chen描述了如何知道系统是否易受此Windows Media Player问题影响,编解码器下载行为如何工作,以及如何保护易受攻击的系统。[链接]
- MS09-050: Mark回顾了公开披露的SMB远程代码执行漏洞的漏洞利用情况历史,帮助您了解对环境的风险。[链接]
- MS09-054: Chen解释了为什么此Internet Explorer公告存在FireFox攻击向量,以及如何根据需要禁用此攻击面。[链接]
- MS09-061: Kevin列出了此.NET安全公告的攻击向量和各种可用的变通选项。他还解释了为什么我们建议禁用部分信任的.NET应用程序而不是完全信任的.NET应用程序。[链接]
- MS09-062: Kevin讨论了GDI+图像格式解析器的"终止开关"。他展示了如何永久禁用例如TIFF文件的解析,作为纵深防御措施或响应未修补的漏洞。[链接]
- MS09-056: Maarten概述了X.509/ASN.1漏洞的影响,并强调了一些使其不如您想象的那么严重的缓解因素。[链接]
我们希望这能帮助您理解本月的大型安全公告发布。如有任何问题,请给我们发送电子邮件。
- Jonathan Ness和Andrew Roths,MSRC工程团队
特别感谢整个MSRC工程团队为本月安全公告和博客所做的工作。