评估12月安全公告的风险
今天早上我们发布了六个安全公告,其中三个为严重级别,三个为重要级别,共涉及12个CVE。请立即应用Internet Explorer更新,因为它在严重性和可利用性方面风险最高。Internet Explorer更新解决了安全公告977981中描述的漏洞。我们希望下面的表格和评论能帮助您合理优先部署其他更新。
| 公告 | 最可能的攻击向量 | 公告严重性 | 最大可利用性指数 | 可能的前30天影响 | 平台缓解措施 |
|---|---|---|---|---|---|
| MS09-072 (IE) | 攻击者托管恶意网页,诱骗受害者访问。 | 严重 | 1 | 针对IE6和IE7的CVE-2009-3672已有公开漏洞利用代码。预计30天内会出现影响其他IE版本的漏洞利用。 | DEP在Windows XP SP3、Windows Vista SP1及更高版本、Windows Server 2008和Windows 7上默认启用,使利用公开漏洞显著困难。 |
| MS09-073 (Wordpad转换器) | 攻击者发送恶意.doc文件(以旧版Word 8格式保存),受害者在Wordpad中打开。 | 严重 | 2 | 前30天内被利用的可能性较低。 | 仅影响较旧平台。 |
| MS09-071 (IAS) | 攻击者在无线LAN上攻击提供802.1x认证和加密的Microsoft IAS服务器,通过RADIUS协议进行攻击。 | 严重 | 2 | 前30天内被利用的可能性较低。 | |
| MS09-074 (Project) | 攻击者发送恶意Project文件(MPP),受害者使用Project 2003或更早版本打开。 | 严重(仅Project 2000为严重) | 2 | 前30天内被利用的可能性较低。 | 仅影响较旧版本的Project。 |
| MS09-070 (ADFS) | 能够认证到运行在IIS中的ADFS的攻击者可以在IIS工作进程中执行代码。 | 重要 | 1 | 虽然前30天内可能开发出漏洞利用,但对大多数组织的风险较低,因为攻击面仅对认证攻击者暴露。 | |
| MS09-069 (LSASS) | 攻击者在企业网络上认证到服务器并远程导致CPU耗尽。 | 重要 | 3 | 前30天内被利用的可能性极低。 | 无代码执行机会。 |
本月,我们还发布了一个公告和非安全更新,改变了Windows在凭据转发方面的行为。Maarten Van Horenbeeck在http://blogs.technet.com/srd/archive/2009/12/08/extended-protection-for-authentication.aspx的博客文章中解释了当前针对凭据反射和凭据转发的保护措施。如果您关心保护凭据免受这些类型的攻击,请务必查看。
此外,我们还发布了一个公告,描述了通过Windows Update向所有客户提供的安全缓解措施。Indeo编解码器是一个较旧的编解码器,已知存在多个安全漏洞。我们没有修复这个旧编解码器中的个别漏洞,而是发布了一个更新,阻止该编解码器在常见攻击场景中运行,例如观看视频或浏览互联网。更多信息请参见安全公告954157。
我们希望这能帮助您理解本月的安全更新。我们建议您应用所有安全更新,但请特别优先部署MS09-072,因为它具有严重严重性评级、可利用性指数为1(“一致漏洞利用代码可能”),并且已有公开的概念验证(PoC)代码。
祝您假期安全,如有任何问题,请告知我们。
特别感谢整个MSRC工程团队为本月安全公告所做的工作!感谢Andrew Roths对这篇博客文章的帮助。
- Jonathan Ness, MSRC Engineering 发布内容“按原样”提供,不提供任何保证,也不授予任何权利。