MS08-001 - Moderate、Important和Critical网络漏洞案例分析

安全公告MS08-001涉及两个独立的CVE编号描述的漏洞，正如公告中所示。本文概述了这两个问题、受影响的平台以及严重性说明。我们将在后续发布两篇更详细的文章，分别深入探讨每个问题。

CVE-2007-0066描述了解析ICMP路由器广告包中的漏洞。默认情况下，任何受支持的Windows版本都不会处理这些数据包。如果计算机配置为处理路由器发现协议数据包并遇到此类畸形数据包，Windows内核将出现错误检查（蓝屏死机）并重新启动。另一篇博客文章将更详细地介绍每个受支持平台上控制此行为的注册表项。

CVE-2007-0069是这两个漏洞中更严重的一个，涉及TCP/IP栈处理IGMP协议数据包的方式。Mark研究了此问题的可利用性，您将在下一篇博客文章中找到他的研究结果以及有关该漏洞的更多详细信息。

对于更喜欢视觉化的读者，这里有一张图片描述了安全公告中涉及的漏洞暴露情况，按CVE分类：

严重性评级详解

查看各种Windows版本的严重性评级，您会注意到它们从Moderate（Windows 2000）到Critical（Windows XP和Vista）不等。虽然公告很好地涵盖了严重性的原因，但我相信仍然会出现一些混淆。

我将尝试预测您的问题并在此回答：

• 为什么Windows 2000被评为Moderate，而其他平台被评为Critical或Important？
  Windows 2000不易受到IGMP攻击，因此此攻击的代码执行风险不适用。Windows 2000仅容易受到涉及ICMP消息的拒绝服务攻击。

• 为什么Server 2003被评为Important？
  Windows Server等Windows服务器版本不易受到IGMP代码执行漏洞的影响。WS03默认不启用UPnP（通用即插即用），并且没有其他服务使用多播。因此，WS03计算机将忽略从网络接收的IGMP消息。UPnP是一种依赖于IP多播的网络服务，默认仅在Windows XP和Windows Vista上启用。

• Server 2003何时可能易受攻击？
  Windows Server 2003仅当计算机上的应用程序或服务使用IP多播时才会易受攻击，例如手动启用UPnP或使用第三方多播应用程序/服务。

• 为什么Vista比XP/Server 2003有更多受影响的协议？
  Vista作为最新版本的Windows，具有最新的协议支持。它默认包括对IPv6的支持，包括MLDv2协议（多播侦听器发现版本2）。该协议是IPv4中IGMPv3的IPv6等效协议。MLDv2在Vista之前不受支持，因此较早的操作系统不易受到特定于MLDv2的攻击。

下一篇文章将更详细地探讨ICMP漏洞，并涵盖重要的缓解措施。

更新： 图形和文本已更新以反映准确的CVE ID编号。

• 安全漏洞研究与防御博客作者
  本文按“原样”提供，不提供任何担保，也不授予任何权利。