评估2010年2月安全公告风险
今天早晨,我们发布了13个安全公告。其中五个为严重(Critical)级别,七个为重要(Important)级别,一个为中等(Moderate)级别。一个安全公告(MS10-015,ntvdm.dll)已有利用代码公开,但我们未发现任何活跃攻击或客户影响。希望以下表格和评论能帮助您优先部署更新。
| 公告 | 最可能攻击向量 | 最高公告严重性 | 最高可利用性指数 | 30天内可能影响 | 平台缓解措施 |
|---|---|---|---|---|---|
| MS10-013(Quartz) | 受害者打开恶意AVI或WAV文件。 | Critical | 1 | 未来30天内可能看到有效利用代码。 | |
| MS10-007(ShellExecute) | 攻击者托管恶意网页,诱骗受害者访问。 | Critical | 1 | 可能看到利用代码发布,导致WebDAV共享上的二进制文件被执行。详情参见SRD博客文章。 | |
| MS10-006(SMB Client) | 本地登录的低权限攻击者运行恶意可执行文件以提升至高权限。 | Critical | 1 | 可能看到针对本地攻击者权限提升的有效利用代码。详情参见SRD博客文章。 | |
| MS10-008(ActiveX kill-bits) | 攻击者托管恶意网页,诱骗受害者访问 | Critical | n/a | 可能看到针对第三方ActiveX控件漏洞的有效利用。 | |
| MS10-012(SMB Server) | 攻击者通过SMB向远程Windows机器发送基于网络的恶意连接。 | Important | 1 | 未来30天内可能看到针对CVE-2010-0231的有效概念验证,导致攻击者诱骗远程受害者用户打开攻击者服务器上的文件并启动回连。较少可能看到针对认证代码执行漏洞(CVE-2010-0020)或未认证拒绝服务漏洞(CVE-2010-0021和0022)的有效利用代码。详情参见SRD博客文章。 | |
| MS10-015(Kernel) | 攻击者已能以低权限用户执行代码并提升权限。 | Important | 1 | 概念验证代码已广泛可用。无活跃攻击。 | |
| MS10-011(CSRSS) | 攻击者登录系统控制台,受害者随后登录同一系统控制台时可能以受害者身份运行代码。 | Important | 1 | 可能看到此漏洞的概念验证代码发布。但由于需要大量用户交互,不太可能广泛利用。 | |
| MS10-009(TCP/IP) | 攻击者向本地子网上的系统发送基于网络的攻击。 | Critical | 2 | 可能看到利用CVE-2010-0239或CVE-2010-0241发布的拒绝服务概念验证代码。攻击者较难在未来30天内发现CVE-2010-0240的实际攻击面。 | /GS对CVE有效缓解:CVE-2010-0239、CVE-2010-0240、CVE-2010-0241。CVE-2010-0242仅为拒绝服务。 |
| MS10-003(Excel) | 攻击向受害者发送恶意.xls文件,受害者用Office XP或更低版本打开。(Office 2003、2007不受影响。) | Important | 1 | 未来30天内可能看到针对Office XP的有效利用文件。 | Office 2003和Office 2007不受影响。 |
| MS10-004(PowerPoint) | 攻击向受害者发送恶意.ppt文件,受害者用PowerPoint Viewer 2003打开。 | Important | 1 | 可能看到针对PowerPoint Viewer 2003的有效利用文件。但PowerPoint Viewer 2003已被在线替换为PowerPoint Viewer 2007。仅使用Office 2003安装盘中的PowerPoint Viewer 2003的受害者易受PowerPoint Viewer漏洞影响。较少可能看到其他PowerPoint漏洞的有效利用。 | PowerPoint Viewer案例在Windows XP或Windows 2000上不可利用代码执行。 |
| MS10-010(Hyper-V) | 攻击者在虚拟机上运行代码导致主机操作系统崩溃。 | Important | 3 | 未来30天内不太可能看到有效利用代码。 | |
| MS10-014(Kerberos) | 攻击者可能通过Kerberos流量导致拒绝服务,如果受害者服务器配置为与MIT Kerberos领域信任关系。 | Important | 3 | 未来30天内不太可能看到公开利用代码。 | |
| MS10-005(GDI+) | 攻击者向受害者发送恶意JPEG。受害者保存JPG,启动mspaint,然后文件->打开恶意JPEG。 | Moderate | 1 | 可能开发利用代码。由于mspaint未注册为JPEG文件关联,不太可能产生广泛影响。 |
我们还发布了安全公告977377,涵盖几个月前披露的TLS中间人漏洞。该公告描述了更多Microsoft攻击面(及缓解选项)。您可在此阅读我们的博客文章:http://blogs.technet.com/srd/archive/2010/02/09/details-on-the-new-tls-advisory.aspx。
感谢MSRC工程团队提供此表格数据。感谢Jerry Bryant、Andrew Roths和Mark Wodrich的排序/优先级意见。
- Jonathan Ness, MSRC Engineering
发布内容“按原样”提供,无任何保证,也不授予任何权利。
更新2月10日 - 将第三方killbits的可利用性指数评级改为“n/a”,因为我们不评级第三方漏洞的可利用性。
更新2月25日 - 感谢Secunia发送PowerPoint Viewer问题。在上表中列出了不可利用平台。