MS08-023：同一漏洞，四种不同安全评级

安全公告MS08-023解决了两个ActiveX控件漏洞：一个在Visual Studio ActiveX控件中，另一个在Yahoo! Music Jukebox ActiveX控件中。安全更新为这两个控件设置了killbit。关于killbit的工作原理，可参考本博客二月初的优秀三部曲系列（1、2、3）。

该公告的一个有趣之处在于不同平台间的严重性评级差异：Windows 2000和XP被评为“严重”，Windows Vista被评为“重要”，Windows Server 2003被评为“中等”，而Windows Server 2008被评为“低”。同一漏洞在不同平台上获得了四种不同的安全公告评级！我们认为这可能会引发一些疑问，因此决定进一步解释基于浏览器的漏洞评级系统如何工作。

当基于浏览器的漏洞允许“路过式代码执行”时，我们将其评为“严重”。内部我们称之为“浏览即被控制”。仅浏览网站（或通过iframe重定向到该网站）就足以触发漏洞——无需提示、无黄金栏，仅浏览即可。在MS08-023的特定情况下，Windows XP SP2上安装了ActiveX控件的用户易受路过式攻击。即使ActiveX控件未安装，攻击者也可将其提供给浏览用户。由于该控件由Microsoft签名，如果用户之前选择始终安装来自Microsoft的软件，则不会收到提示。以下安全警告对话框显示了用户如何选择始终安装来自Microsoft的软件。

Vista上的IE7要求用户“选择加入”他们想要运行的ActiveX控件。如果ActiveX控件未包含在选择加入列表中，则不会运行。我们不期望用户选择加入使用此Visual Studio ActiveX控件（大多数人可能从未听说过它），因此Vista的MS08-023评级为“重要”。您可以看到ActiveX选择加入黄金栏的外观如下。

Windows Server 2003默认启用增强安全配置（ESC）。启用ESC浏览可防止任何脚本或ActiveX控件运行（并启用其他适用于服务器的浏览器强化）。启用ESC后，MS08-023漏洞无法被利用。您必须显式关闭此安全设置，因此我们将此问题评为“中等”。您可以看到增强安全配置对话框如下。

Windows Server 2008包含上述两种缓解措施。它默认搭载IE7，因此默认获得IE7 ActiveX选择加入。并且它还默认启用增强安全配置功能。ESC将评级从“严重”降至“中等”。IE7 ActiveX选择加入将其从“中等”再降至“低”。

• 安全漏洞研究与防御博客团队
  发布内容“按原样”提供，不提供任何担保，也不授予任何权利。