今天,我们发布了十二个安全公告。其中三个的最高严重性评级为“严重”,九个为“重要”。此次发布修复了三个公开披露的漏洞。下表旨在帮助您根据环境需求合理优先部署更新:
| 公告编号 | 最可能的攻击途径 | 最高公告严重性 | 最大可利用性 | 30天内可能的影响 | 平台缓解措施及关键说明 |
|---|---|---|---|---|---|
| MS11-003 (IE) | 受害者访问恶意网页 | 严重 | 1 | 针对CVE-2010-3971的公开漏洞利用已存在(首次描述于公告2488013)。详见MMPC博客的攻击遥测数据。 | - |
| 公告2490606 (shimgvw.dll) | 受害者访问包含恶意缩略图文件的SMB/WebDAV共享 | 严重 | 1 | 针对CVE-2010-3970的公开漏洞利用已存在(首次描述于公告2490606)。未发现实际攻击。 | 仅当explorer.exe处于缩略图/预览模式时存在攻击途径。默认详情模式不受影响。 |
| MS11-007 (OpenType字体驱动) | 受害者通过explorer.exe浏览含恶意OTF文件的文件夹 | 严重 | 2 | 未来30天内发布的漏洞利用可能不稳定且难以实现代码执行。 | Windows XP/Server 2003不受外壳预览攻击途径影响。 |
| MS11-004 (IIS FTPSVC) | 攻击者针对启用FTP服务的IIS 7服务器发送恶意攻击 | 重要 | 2 | CVE-2010-3972漏洞细节已公开,但构建可靠代码执行利用较困难。传闻4月将公开讨论利用技术。 | Windows Server 2003/2008默认配置不受影响。详见博客说明。 |
| MS11-011 (内核) | 攻击者通过已运行代码从低权限账户提权至SYSTEM | 重要 | 1 | 公开存在概念验证代码。 | - |
| MS11-012 (win32k.sys) | 攻击者通过已运行代码从低权限账户提权至SYSTEM | 重要 | 1 | 可能发布本地攻击者获取SYSTEM权限的利用。 | - |
| MS11-014 (LSASS) | 攻击者通过已运行代码从低权限账户提权至SYSTEM | 重要 | 1 | 可能发布本地攻击者获取SYSTEM权限的利用。 | - |
| MS11-008 (Visio) | 受害者打开恶意.VSD文件 | 重要 | 1 | 可能发布相关漏洞利用。 | - |
| MS11-010 (CSRSS) | 攻击者交互登录后运行代码,管理员登录时在其安全上下文中执行 | 重要 | 1 | 可能发布利用代码。 | - |
| MS11-013 (Kerberos) | 1. 服务账户上下文攻击者提权;2. 中间人攻击降级加密至DES | 重要 | 1 | 可能发布利用以扩大网络入侵范围。 | 1. 低权限服务账户无法作为初始攻击途径;2. 攻击者需嗅探并篡改流量。 |
| MS11-005 (Active Directory) | 域管理员账户攻击者可破坏域关键功能(如Kerberos服务) | 重要 | 3 | 仅可能导致拒绝服务。 | 攻击者需先入侵拥有工作站管理权限的域账户。 |
| MS11-009 (JScript/VBscript) | 受害者访问恶意网页导致攻击者读取IE进程内存 | 重要 | 3 | 仅可能导致信息泄露。 | - |
此外,我们还发布了与自动运行功能相关的公告,描述了通过Windows Update禁用非光盘类可移动媒体自动运行的更新包。详见此博客文章。
致谢
感谢Andrew Roths、Mark Wodrich及MSRC工程团队对本文的协助,以及全体成员为本月安全更新所做的努力。
Jonathan Ness, MSRC Engineering
(表格后原文包含的“攻击向量”“可利用性”等分类标签及历史文章链接未翻译,因无实质技术内容。)