评估2012年8月安全更新的风险
今天我们发布了九个安全公告,涉及26个CVE漏洞(13个微软和13个Oracle CVE)。其中五个公告的最高严重等级为“严重”,另外四个为“重要”。希望下表能帮助您根据环境优先部署更新。
| 公告编号 | 最可能攻击向量 | 最高公告严重性 | 最高可利用性评级 | 30天内可能影响 | 平台缓解措施和关键说明 |
|---|---|---|---|---|---|
| MS12-060(Windows通用控件) | 攻击者通过电子邮件向受害者发送恶意RTF文件进行有限针对性攻击。受害者在WordPad或Word中打开RTF,触发以登录用户上下文执行的代码。漏洞也可通过浏览恶意网页触发。 | 严重 | 1 | 目前存在有限的针对性攻击 | 参见SRD博客文章了解此漏洞详情、与4月发布的MSCOMCTL问题的差异,以及我们建议的加固措施。此漏洞无法在Outlook预览窗格中触发。基于电子邮件的RTF攻击需要双击RTF附件。 |
| MS12-052(Internet Explorer) | 受害者浏览恶意网页。 | 严重 | 1 | 可能在30天内出现可靠漏洞利用 | - |
| MS12-054(Windows网络组件) | 企业网络上的攻击者(或在工作组中当选主浏览器后)提供具有畸形名称的共享资源(如打印机)。受害者工作站在每次启动和定期间隔查询主浏览器获取共享资源列表。列表中的畸形攻击者名称触发受害者工作站服务(如后台打印程序服务)中的漏洞。 | 严重 | 1 | 可能在30天内出现可靠漏洞利用 | Windows Vista及更高版本默认仅受拒绝服务问题影响,而非代码执行漏洞。参见SRD博客文章了解背景信息。 |
| MS12-058(Exchange的Oracle Outside In) | 攻击者发送带有恶意附件的电子邮件,诱使受害者在Outlook Web Access中将附件作为网页查看。攻击者可能危害生成网页的服务器端进程。 | 严重 | 1 | 可能在30天内出现可靠漏洞利用 | Oracle Outside In进程以较低权限级别LocalService运行。更多背景信息请参见SRD博客文章。 |
| MS12-053(终端服务) | 攻击者向运行终端服务的Windows XP受害者发送恶意远程桌面协议(RDP)请求,可能在需要身份验证前以SYSTEM权限执行代码。 | 严重 | 2 | 30天内出现可靠漏洞利用的可能性较低 | 仅影响已启用远程桌面的Windows XP工作站。 |
| MS12-055(Windows驱动程序[win32k.sys]) | 已在机器上运行代码的攻击者从低权限账户提升至SYSTEM权限。 | 重要 | 1 | 可能发布漏洞利用,授予本地攻击者SYSTEM级别访问权限 | - |
| MS12-059(Visio) | 受害者打开恶意Visio .DXF文件。 | 重要 | 1 | 野外很少见到Visio漏洞利用。不确定是否会发布漏洞利用。 | Visio未默认安装在大多数Office安装中。 |
| MS12-056(JScript, VBScript) | 受害者在具有8GB+ RAM的64位系统上浏览恶意网页。必须运行64位Internet Explorer。 | 重要 | 2 | 30天内出现可靠漏洞利用的可能性较低 | 仅影响在具有超过8GB RAM的64位系统上运行的64位Internet Explorer版本。 |
| MS12-057(Office) | 受害者打开包含损坏CGM文件的恶意Office文档。 | 重要 | 3 | 30天内出现可靠漏洞利用的可能性较低 | CGM图形过滤器已在MS10-105中禁用。此安全更新解决了图形过滤器未正确禁用的升级场景。 |
除了九个新的安全公告外,我们还重新发布了MS12-043,以提供最初发布时不可用的Microsoft XML Core Services 5.0安全更新。
最后,我们还发布了一个新的安全公告KB 2661254,通知客户在下载中心提供的更新,该更新限制使用RSA密钥长度小于1024位的证书。此公告宣布我们计划在2012年10月通过Microsoft Update发布此更新,以便客户有机会使用更新评估其独特环境并采取必要措施使用1024位或更长的证书。
- Jonathan Ness, MSRC Engineering