MS12-034安全更新:深入解析Duqu漏洞修复与键盘布局攻击面削减

本文详细解析了微软安全更新MS12-034,涵盖Duqu漏洞的全面修复、多个CVE漏洞的联合处理,以及键盘布局文件攻击面的削减措施,涉及Win32k.sys、GDI+、Silverlight等多个组件。

MS12-034: Duqu、十个CVE及键盘布局文件攻击面削减

关于安全更新MS12-034,有几个有趣的“故事”要讲:

  • 再次解决Duqu漏洞?
  • 为什么影响这么多产品?
  • Windows Vista引入的键盘布局行为有条件地应用于低版本系统

再次解决Duqu漏洞?

五个月前,我们发布了安全更新MS11-087,以解决CVE-2011-3402漏洞,该漏洞被Duqu恶意软件利用,在用户打开恶意Office文档时执行任意代码。正如我们当时发布的SRD博客文章所述,此漏洞是由于win32k.sys字体解析子系统中的边界检查不足所致。

自发布MS11-087以来,我们发现多个Microsoft产品包含了win32k.sys字体解析代码的副本。不幸的是,每个代码副本也都包含了MS11-087解决的漏洞。最麻烦的副本在gdiplus.dll中。我们知道一些第三方应用程序——特别是第三方浏览器——可能使用gdiplus.dll来解析和渲染自定义字体。Microsoft Office版本的gdiplus(称为ogl.dll)也包含了易受攻击的代码副本。Silverlight包含了易受攻击的代码副本。Windows Journal查看器也包含了易受攻击的代码副本。

Duqu恶意软件利用的Office文档攻击向量已通过MS11-087解决——应用安全更新后,Duqu不再能够利用该漏洞。然而,我们希望确保在Microsoft代码库中任何出现易受攻击代码的地方都加以解决。为此,我们一直与Microsoft Research合作开发一个“克隆代码检测”系统,我们可以为每个MSRC案例运行该系统,以查找任何发布产品中的易受攻击代码实例。该系统发现了多个CVE-2011-3402的副本,我们现在通过MS12-034来解决。

为什么影响这么多产品?

乍一看,MS12-034似乎解决了不相关产品中的多个不相关漏洞。例如,为什么键盘布局处理漏洞与Silverlight问题在同一更新中解决?然而,如上所述,我们需要在许多不同产品中解决字体解析漏洞(CVE-2011-3402)。随着每个新产品添加到安全更新包中,计划在同一二进制文件中解决的漏洞也包括在内。

解决CVE-2011-3402要求我们维护ogl.dll、gdiplus.dll、win32k.sys、Silverlight、.NET Framework等。因为gdiplus.dll正在处理,所以计划在同一二进制文件中发布的其他几个修复程序也纳入了此更新。例如,win32k.sys中的本地权限提升漏洞(CVE-2012-0180、0181、1848)被添加,因为我们已经包含了win32k.sys来解决TTF解析问题。Silverlight和.NET Framework漏洞被添加,因为我们已经在通过CVE-2011-3402维护这些二进制文件。最终,要求安装更少的更新可能是最好的,但我们理解这可能会令人困惑。希望这个解释能帮助您理解将十个CVE包含在单个公告中的决策背后的原因。

Windows Vista引入的键盘布局行为有条件地应用于低版本系统

除了解决公告中描述的漏洞外,此安全更新还关闭了恶意键盘布局文件攻击向量。Windows Vista引入了一个要求,即所有键盘布局文件必须从%windir%\system32加载。MS12-034还将此更改向下移植到Windows XP和Windows Server 2003。随着此新更新的生效,像CVE-2012-0181(今天正在解决)和CVE-2010-2743(Stuxnet使用的权限提升漏洞之一)这样的漏洞将不再是问题。要求攻击者将恶意文件放置在system32目录中,可以防止漏洞成为威胁。

您可以在公告的FAQ部分阅读有关此更改如何推出的更多信息,特别是“应用解决CVE-2012-0181的安全更新包是否有特殊要求?”此更改不会影响系统中已注册%windir%\system32之外键盘布局的系统。您还可以在Microsoft KB 2686509中阅读更多信息。

致谢

许多工程师努力工作,为您带来了这个比平常更大的MS12-034安全更新。来自MSRC工程团队,我特别感谢Richard van Eeden和Cristian Craioveanu在字体问题上的工作。Ali Pezeshk和Gavin Thomas也都对此更新做出了比平常更大的贡献。Elias Bachaalany、Elia Florio、Jinwook Shin、Neil Sikka、Ali Rahbar和Suha Can都从MSRC工程团队为此更新做出了贡献。最后,感谢Chengyun Chu在克隆代码检测系统上的工作,该系统发现了CVE-2011-3402的其他实例。

结论

MS12-034解决了影响多个不同产品的十个CVE。我们希望这篇博客文章能回答您可能对此更新中的维护决策提出的问题。如果您有任何进一步的问题,请发送电子邮件至switech –at- microsoft –dot- com。

  • Jonathan Ness, MSRC Engineering
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次