评估MSRC当前追踪的公开问题的风险
在微软,与大多数大型软件供应商一样,我们很可能在任何时候都有正在调查的公开已知问题。这就是我们在安全研究与防御团队所做的工作。最近我们看到一些人在尝试理解当前的一些公开问题时感到困惑。为了帮助澄清这一点,我们提供此信息表,以帮助客户针对其特定环境进行风险评估。请注意,应用微软推荐的任何问题的工作方法可以完全消除该问题带来的风险。
问题清单与风险评估
| 问题 | 状态 | 缓解措施 |
|---|---|---|
| Internet Explorer 6/7/8递归样式表导入漏洞 (CVE-2010-3971) | 公开,有可利用代码。我们看到有限的利用情况。 | 如安全公告#2488013所述,EMET是一种有效的缓解工具。我们的MAPP合作伙伴为此问题开发的防病毒和IDS/IPS签名在检测和阻止攻击方面也非常有效。 |
| Windows图形渲染引擎解析嵌入OLESS文档容器中的BMP缩略图漏洞 (CVE-2010-3970) | 本周发布了公开利用代码。到目前为止,我们看到的概念验证代码要求用户使用Windows资源管理器浏览到攻击者可写的文件夹。如果资源管理器设置为显示缩略图或包含文件的预览(这两种设置都不是默认设置),则存在代码执行的可能性。当前的概念验证代码在资源管理器设置为默认列表模式显示文件时不成功。 | 如安全公告#2490606所述,修改shimgvw.dll上的访问控制列表。该公告还列出了自动化此配置更改的一键修复工具。 |
| IIS 7.0和7.5 FTP服务在FTP响应中编码Telnet IAC(解释为命令)字符的漏洞 (SRD博客文章) | 如这篇SRD博客文章所述,尝试利用此漏洞很可能会导致拒绝服务。我们尚未看到尝试利用此漏洞进行代码执行的情况。 | FTP服务在IIS 7或IIS 7.5中默认不安装。安装后,默认也不启用。如果您已启用IIS FTP服务,请考虑在安全更新可用之前禁用它(如果可能)。 |
| 公开发布的能够导致Internet Explorer崩溃的模糊测试工具 | 发布了针对各种浏览器的模糊测试工具,以及显示潜在可利用条件的崩溃信息。虽然模糊测试工具成功遇到了Internet Explorer中的可利用内存损坏问题,但到目前为止,我们无法将崩溃转换为可用作浏览即拥有漏洞的独立HTML页面。遇到这些问题似乎取决于首先在模糊测试工具中加载许多先前的HTML迭代,这使得我们迄今为止发现的问题对于现实世界攻击的用途不太有用。我们仍在调查此问题,并将监控任何可能改变当前风险的发展。 | 目前无法在没有独立PoC的情况下进行评估。但是,我们正在开发安全更新以解决模糊测试中发现的问题。 |
| WMI管理工具ActiveX控件漏洞 | 只有极少数安装了WMI管理工具包的客户易受此问题影响。该产品的总下载量很少。ActiveX控件本身未经微软签名。这不是攻击者可以托管微软签名的ActiveX控件并诱使用户单击一次以允许安装的情况。大多数客户因此问题面临的现实风险预计非常低。 | 可以对此ActiveX控件设置killbit以保护任何安装了WMI管理工具包的机器。受影响的ActiveX控件不打算在Internet Explorer中实例化,因此WMI管理工具包的合法使用不应受此配置更改的影响。附带的.txt文件(如果重命名为.reg并打开)将对受影响的clsid应用killbit。 |
我们希望这能帮助客户为您的环境进行风险评估。我们正在密切监控每个问题,如果威胁形势发生变化,我们将更新或发布公告。
感谢每位在假期期间努力适当回应这些公开披露的案件经理和安全工程师!
- Jonathan Ness, MSRC Engineering 发布内容“按原样”提供,不提供任何保证,也不授予任何权利。 killbit.txt