MS08-041：微软Access快照查看器ActiveX控件

安全研究与防御
作者：swiat / 2008年8月12日 / 阅读时间：3分钟

MS08-041修复了Microsoft Access快照查看器ActiveX控件中的一个漏洞。这是一个有趣的漏洞，因此我们希望更详细地介绍风险降低的平台以及此漏洞的服务策略。

Windows Vista风险降低？

我们首次听说此漏洞是通过客户发送的主动攻击报告。作为响应，我们发布了安全公告955179。攻击者发现了一个竞态条件，诱骗此合法的ActiveX控件从任何互联网URL下载文件并将其写入本地磁盘的任何路径。最初的攻击将特洛伊木马恶意软件可执行文件放置在用户的启动文件夹中，以便在下次重启时运行。后来，攻击者发现了如何覆盖核心系统文件并立即加载这些文件。我们观察到的最新攻击甚至会在潜在受害者尚未安装ActiveX控件时提示他们下载。

然而，也有一些好消息。Windows Vista针对此类攻击提供了强大的深度防御保护。Windows Vista的IE7“保护模式”功能不允许ActiveX控件（或浏览器内运行的任何内容）写入文件系统的敏感区域。因此，Vista用户通过我们在此类攻击中观察到的正常IE攻击向量感染的风险显著降低。

MSRC ActiveX控件服务策略

此漏洞的服务策略有一个复杂之处。您可能从以前的ActiveX控件案例中 recall，MSRC通常提供一个更新的二进制文件，以及旧二进制文件的killbit和指向新二进制文件的phoenix bit。新二进制文件、killbit和phoenix bit都将通过单个包安装，确保ActiveX控件的合法使用不会中断。一两个月后，MSRC将发布一个独立的killbit来阻止旧控件的任何实例化。其想法是，到那时任何控件的合法用户都将拥有指向新二进制文件的phoenix bit，因此完全终止旧clsid不会中断二进制文件的合法使用。

MS08-041是提供更新的快照查看器ActiveX控件、旧clsid的killbit以及将旧clsid指向其新clsid等效项的phoenix bit的包。因此，如果您安装MS08-041，您将免受利用snapview.ocx中此漏洞的攻击。但是，请记住，如果您尚未安装Microsoft Office，Microsoft Update可能不会提供MS08-041。这是合理的，因为如果您没有安装该控件，您不会希望Microsoft将其推送到您的计算机上。从上一段 recall，MSRC将在初始包之后跟随一个独立的killbit。这将在下一个ActiveX killbit包中提供，在合法使用和需要快照查看器ActiveX控件的用户安装新二进制文件之后。同时，如果您控制的计算机未安装Office，您应考虑设置killbit以确保安全。您可以在公告的变通方案部分找到执行此操作的步骤。

• 安全漏洞研究与防御博客作者
  发布内容“按原样”提供，不提供任何保证，也不授予任何权利。