评估2013年2月安全更新风险
今天,我们发布了十二个安全公告,解决了57个CVE漏洞。其中五个公告的最高严重性评级为“严重”,七个为“重要”。我们希望下表能帮助您根据环境优先部署更新。
| 公告 | 最可能的攻击向量 | 最高公告严重性 | 最高可利用性评级 | 可能的前30天影响 | 平台缓解措施和关键说明 |
|---|---|---|---|---|---|
| MS13-010 (VML) | 受害者浏览恶意网页。 | 严重 | 1 | 已在定向攻击中用作地址泄露漏洞。可能在接下来30天内作为信息泄露或代码执行漏洞被进一步利用。 | VGX.dll最近才包含在Internet Explorer累积更新中。DLL最初作为Office组件发布。根据平台,MS13-009也可能包含修复。为确保所有平台都有修复,WU检测逻辑针对所有平台定位MS13-010,即使已安装MS13-009的平台也是如此。 |
| MS13-009 (Internet Explorer) | 受害者浏览恶意网页。 | 严重 | 1 | 可能在接下来30天内开发出可靠的漏洞利用。 | |
| MS13-020 (OLEAUT32) | 受害者在Word或Wordpad中打开包含嵌入式ActiveX控件的恶意RTF文件,可能导致在登录用户上下文中执行代码。 | 严重 | 1 | 可能在接下来30天内开发出可靠的漏洞利用。 | 文档式攻击通常评级为“重要”。然而,OLEAUT32.dll核心内存管理功能中的漏洞可能被第三方ActiveX控件利用。虽然我们未识别出任何基于Microsoft浏览器的攻击向量,但第三方ActiveX控件可能在浏览器中暴露此漏洞。 |
| MS13-011 (Windows Media) | 安装了第三方编解码器的受害者浏览恶意网页。 | 严重 | 1 | 可能在接下来30天内开发出可靠的漏洞利用。由于需要第三方编解码器,不太可能看到广泛攻击。 | 未安装第三方编解码器时无法触发漏洞。 |
| MS13-012 (Oracle Outside In for Exchange) | 攻击者发送带有恶意附件的电子邮件,并诱使受害者在Outlook Web Access中将附件作为网页查看。攻击者可能危及生成网页的服务器端进程。 | 严重 | 2 | 难以为此漏洞构建可靠的漏洞利用代码。 | Oracle Outside In进程以较低权限级别LocalService运行。更多背景信息,请参阅此SRD博客文章。 |
| MS13-015 (.NET Framework) | 受害者浏览提供XBAP或ClickOnce应用程序的恶意内联网网页。 | 重要 | 1 | 漏洞本身可利用(因此评级为“1”)。然而,XBAP在IE9上被禁用,在早期版本的Internet Explorer的Internet区域也被禁用。因此,不太可能看到广泛利用。 | |
| MS13-016 (Windows drivers [win32k.sys]) | 已在机器上运行代码的攻击者使用其中一个漏洞从低权限帐户提升到SYSTEM。 | 重要 | 2 | 难以为此漏洞构建可靠的漏洞利用代码。 | 同一漏洞存在于30个不同的win32k.sys函数中,导致高(30)CVE计数。 |
| MS13-017 (Windows kernel) | 已在机器上运行代码的攻击者使用其中一个漏洞从低权限帐户提升到SYSTEM。 | 重要 | 1 | 可能在接下来30天内开发出可靠的漏洞利用代码。 | |
| MS13-019 (CSRSS) | 已在机器上运行代码的攻击者使用其中一个漏洞从低权限帐户提升到SYSTEM。 | 重要 | 1 | 难以为此漏洞构建可靠的漏洞利用代码。 | |
| MS13-013 (FAST Search Server for Sharepoint) | 具有权限将恶意内容上传到Sharepoint服务器的攻击者这样做,该内容由FAST Search Server索引,可能导致在索引服务使用的受限令牌上下文中执行代码。 | 重要 | 1 | 可能在接下来30天内开发出可靠的漏洞利用。 | 利用Oracle Outside In技术进行索引的SharePoint高级筛选包默认未启用。启用时,SharePoint用于索引的进程以类似于Office 2010保护视图沙箱的受限令牌运行。更多信息,请参阅此SRD博客文章。 |
| MS13-018 (TCP/IP) | 攻击者创建数百万个TCP/IP连接到受害者服务器,使受害者通过向攻击者发送FIN来为每个连接启动连接拆除。随着时间的推移,受害者的非分页池耗尽,无法创建新的网络连接。 | 重要 | n/a | 仅拒绝服务。 | 仅拒绝服务 - 无代码执行机会。有关此问题的更多背景,请参阅此SRD博客文章。 |
| MS13-014 (NFS server role) | 攻击者在已激活NFS服务器角色的Windows服务器上触发拒绝服务条件。 | 重要 | n/a | 仅拒绝服务。 | 不影响没有NFS服务器角色的服务器。 |
- Jonathan Ness, MSRC Engineering