带外安全公告网络广播问答 - 2010年3月30日

主持人：Adrian Stone（高级安全项目经理主管）、Jerry Bryant（响应通信组经理）
网站：TechNet/security
聊天主题：2010年3月带外安全公告
日期：2010年3月30日，星期二

问：CVE-2010-0483与CVE-2010-0806类似，都是远程代码执行漏洞，且自2010年3月1日起就有公开的利用代码。是否有计划修复这些关键漏洞？MS10-018是否能减少安全建议981169（CVE-2010-0483）在IE6和IE7中的暴露风险？安全建议981169是否会在未来的IE更新或其他Windows组件更新中修复？
答：安全建议981169（CVE-2010-0483）涉及不同的组件——VBScript，并非IE问题。目前我们未观察到该漏洞的主动利用，仅见概念验证代码发布。此问题将通过单独更新解决。

问：微软何时发布今日带外更新的下载，以便通过Windows Server Update Services（WSUS）获取？
答：今日更新已通过Windows Update分发，WSUS扫描cab文件现已可用。若无法通过WSUS访问更新，请联系客户服务与支持：1-866-PCSAFETY（1-866-727-2338）或访问http://support.microsoft.com。

问：今日更新是否包含CanSecWest期间pwn2own竞赛中暴露的漏洞？
答：不包含。CanSecWest演示的漏洞是新的，且刚刚负责任地披露给我们。

问：如果我的恶意软件防护已更新并覆盖此漏洞，我是否可在常规更新周期内受到保护？
答：微软不建议因存在防病毒软件而延迟安装此更新。作为微软主动保护计划（MAPP）的一部分，微软已与特定防病毒供应商共享此漏洞信息，以便其为客户构建保护。然而，防病毒软件对特定新攻击的覆盖效果通常不如安装安全更新。安装安全更新MS10-018可从受影响系统中移除此漏洞，因此是解决此问题的最合适方式。

问：此IE更新是否存在远程问题，或者攻击是否需要目标访问网页才能生效？
答：此漏洞无远程向量。用户必须访问攻击者控制的网站才会暴露于攻击。

问：是否只有CVE-2010-0806漏洞受益于DEP？其他漏洞未提及DEP。
答：数据执行保护（DEP）可防止一般类型的内存损坏漏洞利用。DEP不修复漏洞本身，但有助于确保利用尝试失败。DEP确实有助于保护系统免受此公告中列出的所有远程代码执行漏洞的影响。然而，鉴于CVE-2010-0806是公告中唯一当前观察到主动利用的漏洞，因此在该CVE下特别列出作为额外保护。

问：为何“Microsoft安全内容：综合版”RSS订阅源未在2010年3月29日星期一更新以宣布计划的带外发布？
答：我们昨天确实遇到RSS订阅源问题，但已解决且今日正确反映了此发布。对造成的不便深表歉意，并已采取措施确保未来发布中不再发生此问题。

问：在野外观察到哪些利用此漏洞的恶意软件，这些恶意软件攻击的影响如何？
答：我们知晓利用此漏洞的恶意软件样本。存在多种渗透测试工具也利用此攻击，因此无法 pinpoint 特定恶意软件以保护 against 此漏洞。有关恶意软件及检测签名的更多信息，请参阅MMPC博客：http://blogs.technet.com/mmpc/archive/2010/03/30/active-exploitation-of-cve-2010-0806.aspx。

问：有时这些更新会导致与现有Microsoft产品的各种兼容性问题。今日更新是否有已知兼容性问题？
答：目前我们未意识到此更新有任何问题。

问：为何此更新需要重启，即使IE未打开？
答：IE累积更新中的多个二进制文件需要系统重启才能使更改生效。

问：是否可以使用Internet Security & Acceleration Server（ISA）2004或ISA 2006阻止此漏洞？
答：若知晓恶意IP或URL，可进行阻止。还应仅允许访问受信任站点；然而，Forefront威胁管理网关（TMG）利用的NIS组件无法在此提供额外保护。更多细节请参阅MMPC博客。

问：是否有关于这些定向攻击增加速度及具体目标对象的事实？
答：我们观察到这些攻击广泛分布，不限于特定地理区域。MMPC已在其博客发布一些显示地理分布的信息：http://blogs.technet.com/mmpc。

问：我在工作防火墙后，且部署了网页和电子邮件内容过滤，您认为立即应用此更新的关键性如何？
答：微软建议尽快应用安全更新以保护基础设施。由于漏洞利用的性质，除非防火墙或网页/电子邮件过滤阻止JavaScript内容，否则它们无法保护用户。

问：MS10-018中“未初始化内存损坏漏洞-CVE-2010-0806”的变通方案是否会启用或禁用Office2007中的ActiveX控件？如果未安装Office 2007，漏洞风险是否降低？
答：所解决的漏洞在IE应用程序中。应用更新可移除漏洞。

问：现场网络广播中提到的显示攻击国家图表的网站名称是什么？
答：您可在Microsoft恶意软件保护中心博客找到有关此漏洞主动利用及其按区域分布的更多信息：http://blogs.technet.com/mmpc/。

问：MS10-018中是否有非安全更改可能导致现有基于浏览器的应用程序出现问题？
答：此更新不包含非安全更新或功能更改，我们建议用户安装此更新。若遇到问题，请报告至1-866-PCSAFETY或http://support.microsoft.com。

问：此更新是否在所有情况下强制重启生效？
答：公告的检测和部署部分包含在不强制重启的情况下部署此更新的说明。这些说明涉及“无重启”开关。

问：这些漏洞是否仅影响IE，或者是否有漏洞在不使用IE的情况下影响系统？
答：此更新中解决的任何漏洞的利用都需要IE用户访问攻击者控制的站点。