MS09-017：一次非比寻常的PowerPoint安全更新

安全更新MS09-017解决了最近在定向攻击中使用的PowerPoint（PPT）零日漏洞。我们在4月2日首次发现野外利用此漏洞后，发布了带有缓解措施的安全公告969136。我们还发布了一篇SRD博客文章，描述如何分析漏洞利用，以及一篇MMPC博客文章，详细介绍了我们看到的漏洞利用情况。现在，安全更新已准备好供您安装。此更新与之前的Office安全更新相比有一些不同之处，我们希望确保您理解。

首先，Windows版本Office的安全更新比我们计划的发布时间提前完成。Mac版本的Office也受到影响，但软件包仍在测试中，因此我们今天仅发布Windows版本。我们通常不会在一个受支持的平台之前更新另一个平台，但考虑到这种情况，即在整个产品线中有一个可用的软件包，可以在可预测的发布周期内保护绝大多数面临风险的客户，我们决定提前发布Windows版本。当Mac版本可用时，我们将修订安全公告。我们分析的所有PPT漏洞利用样本都无法可靠地利用Mac版本，因此我们不想在等待Mac版本时推迟Windows安全更新。我们仍在努力进行Mac版本的测试。

与我们通常的Office更新相比，下一个有趣的不同之处是MS09-017显著减少了攻击面。Office团队做出了一个明智的选择，通过此安全更新移除对非常旧的PowerPoint 4转换器（PP4X322.DLL）的支持。“PP40”文件甚至无法再通过Office XP、Office 2003或Office 2007创建，并且多年来已不是默认格式。Office 2007以及Office 2003 SP2和SP3已经移除了对此文件格式的支持，因此我们通过此安全更新将攻击面减少措施向后移植到较低版本。如果您真的、真的、真的需要打开一个您信任的非恶意PowerPoint 4文件，我们建议您使用此注册表键临时重新启用它，打开文件，将文件保存为较新的格式，并立即再次禁用旧格式。这是限制系统风险的最佳方式。

关于此更新的最后一点是涉及此公告解决的14个漏洞。我们通过移除对格式（PP40）的支持来解决多个PowerPoint转换器案例。其他漏洞通过将最新的Office 2003 SP3转换器代码向后移植到Office XP和Office 2000来解决。例如，PP7X32.DLL经过了大量更改，解决了公告中列出的外部报告的漏洞，同时还对解析引擎进行了实质性加固。我们希望通过进行此全面更新并主动解决安全漏洞，降低风险并帮助保护我们的客户免受未来漏洞的影响。

最后，根据我们的遥测数据，只有一个CVE（CVE-2009-0556）已知被公开利用，但我们渴望发布所有报告漏洞的修复程序。此更新显著加固了所有版本的PowerPoint，我们强烈鼓励您尽快应用它！

Jonathan Ness, MSRC Engineering 发布内容“按原样”提供，不提供任何担保，也不授予任何权利。