MS09-001:SMB安全公告部署优先级解析与漏洞风险评估
本月我们发布了针对SMB的三个漏洞的更新。本博文提供了额外信息,帮助优先部署此更新,并解释代码执行风险。
在公告中,您将看到Windows 2000、XP和Server 2003系统的累积严重性评级为“严重”,而Vista和Server 2008的累积严重性评级为“中等”。
三个漏洞中有两个存在远程代码执行风险(CVE-2008-4834和CVE-2008-4835),因此被评为“严重”。然而,Vista和Server 2008系统不易受第一个漏洞影响,第二个漏洞不影响使用默认设置的系统。因此,我们将Vista和Server 2008的CVE-2008-4835评级为“中等”。CVE-2008-4114影响所有Windows平台,导致系统拒绝服务(DoS),无远程代码执行风险,因此评级为“中等”。下表总结了各Windows版本的受影响情况:
| 操作系统 | 风险类型 |
|---|---|
| Windows 2000 | RCE |
| Windows XP | RCE |
| Windows Server 2003 | RCE |
| Windows Vista | DoS |
| Windows Server 2008 | DoS |
对于所有受影响的Windows版本,如可利用性指数(http://technet.microsoft.com/en-us/security/cc998259.aspx)所述,两个RCE漏洞不太可能导致有效的利用代码。原因如下:
- 漏洞导致固定值(零)被写入内核内存——而非攻击者控制的数据。
- 控制被覆盖的数据很困难。要利用此类内核缓冲区溢出,攻击者通常需要能够预测内存的布局和内容。目标机器的内存布局取决于多种因素,如系统的物理特性(RAM、CPU)、系统负载、正在处理的其他SMB请求等。
在优先部署此更新方面,我们建议立即更新SMB服务器和域控制器,因为系统DoS会产生高影响。其他配置应根据机器的角色进行评估。例如,非关键工作站可视为较低优先级,假设系统DoS是可接受的风险。在主机防火墙中阻止SMB的系统也可以较慢更新。
- Mark Wodrich, SVRD Blogger 发布内容“按原样”提供,不提供任何保证,也不授予任何权利。
关键词:可利用性、内核、评级、SMB