漏洞技术细节

Q：工作站和服务器在漏洞严重性上有何差异？
A：Windows Server 2003/2008默认启用IE增强安全配置(ESC)，将Internet区域安全级别设为高，可缓解未添加到信任站点的攻击。但若禁用ESC，则与工作站同为严重级漏洞。

Q：该补丁与MS09-072的关系？
A：IE更新具有累积性，MS10-002包含此前所有IE安全更新。用户安装最新版本即可获得完整防护。

攻击向量分析

Q：当前是否已发现实际攻击？
A：确认存在针对该漏洞的活跃攻击（包括代号Aurora的定向攻击），攻击者可通过诱导用户访问恶意网页触发漏洞，无需用户交互操作。

防护技术方案

DEP防护机制

• Q：XP系统DEP是否易被绕过？
  A：DEP仍是有效的纵深防御措施，目前所有活跃攻击均无法绕过DEP。但研究人员已掌握概念验证代码，需警惕未来攻击演进。

• Q：如何强制启用DEP？
  A：可通过组策略部署，SRD博客提供详细配置指南。硬件不支持DEP时设置自动失效。

企业部署实践

WSUS管理

• Q：如何加速WSUS部署？
  A：在审批包中设置过期截止日期可立即触发部署。KB 894199提供WSUS内容变更记录。

• Q：虚拟化环境兼容性？
  A：补丁测试覆盖VMware等虚拟化场景，若遇特定问题请联系微软支持。

技术缓解措施

临时解决方案

• 禁用NTVDM子系统可彻底阻断攻击链（但会影响16位应用程序运行）
• 将关键站点加入IE受限站点区域（优先级高于信任站点）
• Exchange OWA等客户端场景不受服务器端影响

更新策略说明

带外发布原因
原定2月补丁日发布的更新因攻击态势升级提前发布，包含多个关键级漏洞修复，其中CVE-2010-0249是触发紧急发布的主因。