MS09-054: IE安全公告攻击面的额外信息

MS09-054修复了一个IE漏洞（CVE-2009-2529），该漏洞由Mark Dowd、Ryan Smith和David Dewey在7月的BlackHat会议上发现并展示。

首先，我们想明确一点：任何应用了MS09-054相关更新的客户都受到保护，无论攻击向量如何。大多数客户无需采取任何行动，因为他们将通过自动更新自动接收此更新。

对于那些正在评估是否部署此更新、并希望在部署前了解更多防护信息的客户，我们在本文中提供了更多细节，以帮助理解此漏洞。

攻击向量是什么？

存在一种“浏览即被攻击”的攻击向量。只需诱使用户访问恶意网站即可。触发此漏洞涉及使用恶意的XBAP（XAML浏览器应用程序）。请注意，虽然此攻击向量与MS09-061的一个攻击向量匹配，但底层漏洞不同。此处，受影响的过程是Windows Presentation Foundation（WPF）托管进程PresentationHost.exe。

虽然漏洞在IE组件中，但Firefox用户也存在攻击向量。原因是.NET Framework 3.5 SP1在Firefox中安装了一个“Windows Presentation Foundation”插件，如下所示。

通过此插件，可以从Firefox内部启动XBAP并触及此漏洞。

如何保护自己？

客户应应用MS09-054，因为它为所有用户（包括IE和Firefox）修复了底层漏洞。在评估和测试MS09-054部署时，您可能需要考虑以下临时解决方案。

对于IE用户，我们推荐的临时解决方案是在Internet区域禁用XBAP。默认情况下，Win2k8和Win2k3上的IE8已在Internet区域禁用XBAP。对于其他用户，您可以通过IE中的以下安全设置禁用XBAP。

对于安装了.NET Framework 3.5的Firefox用户，您可以使用“工具”->“附加组件”->“插件”，选择“Windows Presentation Foundation”，然后单击“禁用”。

特别感谢MSRC工程团队的David Ross、Fermin J. Serna和Andrew Roths，IE团队的Eric Lawrence和Jeremy Reed，以及WPF团队的Jennifer Lee。

2009年10月16日更新 - 更新博客文章以澄清Firefox用户在安装MS09-054更新后受到CVE-2009-2529的保护。