评估2012年10月安全更新的风险
今天我们发布了七个安全公告,解决了20个CVE(7个微软和13个Oracle CVE)。其中只有一个公告被评为关键级别,其他六个的最高严重性评级为重要。我们希望下表能帮助您根据环境优先部署更新。
| 公告 | 最可能的攻击向量 | 最高公告严重性 | 最高可利用性指数 | 可能的前30天影响 | 平台缓解措施和关键说明 |
|---|---|---|---|---|---|
| MS12-064 (Word) | 受害者打开恶意RTF文件附件或在Outlook预览窗格中预览富文本电子邮件(Word设置为默认查看器),导致在登录用户上下文中可能执行代码。 | 关键 | 1 | 可能在30天内看到可靠漏洞利用开发。 | |
| MS12-066 (SafeHTML) | 攻击者向服务器提交恶意HTML,绕过SafeHTML的清理代码。恶意HTML随后显示给受害者,导致潜在信息泄露。 | 重要 | 1 | 可能在30天内看到可靠漏洞利用开发。 | 我们观察到有限的针对性攻击尝试利用此漏洞针对微软在线服务。没有已知针对MS12-066所解决产品的攻击。 |
| MS12-067 (FAST Search Server for Sharepoint) | 攻击者有权将恶意内容上传到Sharepoint服务器,由FAST Search Server索引,导致在索引服务使用的受限令牌上下文中可能执行代码。 | 重要 | 1 | 可能在30天内看到可靠漏洞利用开发。 | 利用Oracle Outside In技术进行索引的SharePoint高级筛选包默认未启用。启用时,SharePoint用于索引的进程以类似于Office 2010保护视图沙箱的受限令牌运行。更多信息请参见SRD博客文章。 |
| MS12-069 (Kerberos) | 攻击者能够从一台域加入机器发起网络连接到另一台域加入机器,发送畸形请求,可能导致远程计算机上LSASS中的NULL解引用。LSASS意外终止将启动服务器重启。 | 重要 | N/A | 无代码执行潜力。 | 攻击者必须能够从域加入计算机发起出站NTLM认证请求。此流量通常在外部防火墙处被阻止,使得从企业网络外部发起的攻击者不太可能触发此问题。 |
| MS12-065 (Works 9) | 受害者使用Works 9打开恶意.DOC文件,导致在登录用户上下文中可能执行代码。 | 重要 | 2 | 构建有效漏洞利用的难度加上使用此旧产品的客户有限,使此漏洞对攻击者吸引力较低。 | 仅影响Works版本9。 |
| MS12-068 (Kernel) | 攻击者能够在低权限级别运行代码的系统上触发此漏洞,泄露内存内容,可能导致从低权限提升到更高权限。 | 重要 | 3 | 不太可能看到为此漏洞编写的直接执行代码的利用。更可能用作信息泄露漏洞,揭示攻击者在低权限级别运行代码时本不可用的内存内容。 | |
| MS12-070 (SQL Reporting Services) | 攻击者向受害者发送链接,利用SQL Reporting Services服务器上的跨站脚本(XSS)漏洞,受害者具有访问权限。当受害者点击链接时,将在SQL Reporting Services服务器上代表他们执行自动操作,否则他们可能不希望执行。 | 重要 | 1 | 可能在30天内看到XSS漏洞利用开发(此处无在SQL服务器或SQL Reporting Services服务器上执行代码的利用)。 | 如果为Intranet站点启用IE XSS过滤器,将阻止尝试利用此漏洞。 |
除了七个新安全公告外,我们还重新发布了MS12-043,为Windows 8上的Microsoft XML Core Services 4.0提供安全更新。(MSXML4默认不随Windows提供,但可以作为可再发行组件包含在已安装应用程序中。)
我们还在修订安全公告2661254,指出更新现在可通过自动更新提供给所有客户。
最后,我们发布了一个新的安全公告2749655,描述了由于最近发布的安全更新中数字证书时间戳不正确而导致的潜在兼容性问题。您可以在安全公告和SRD博客文章中阅读更多详细信息。
如果您对本月的发布有任何疑问,请告诉我们。您可以通过switech [at] microsoft [dot] com电子邮件联系MSRC工程研究团队,或于明天太平洋时间上午11点收听每月网络广播。点击此处注册网络广播。
- Jonathan Ness, MSRC Engineering