存在于 msvidctl.dll 中的 MPEG2TuneRequest ActiveX 控件漏洞 [转译]
<<本文章转译自 Security Research & Defense 博客文章 "New vulnerability in MPEG2TuneRequest ActiveX Control Object in msvidctl.dll ">>
我们获悉了一轮活跃的攻击,此轮攻击利用了微软的 MPEG2TuneRequest ActiveX 控件对象的远程代码执行漏洞。我们发布了 安全通报 972890 以向我们的客户提供指导,帮助他们保护自己。在这篇 Blog中,我想提供更多细节来帮助你理解这个问题。
攻击媒介是什么?(例如,用户是怎样被攻陷的?)
“浏览-下载-攻陷”的攻击媒介。用户被引诱浏览一个恶意的网站或者被攻陷的合法网站后,就会受到影响,而不需要用户做其他交互操作。默认情况下,Outlook Express 和 Outlook 会在受限制站点区域中打开 HTML 邮件。受限制站点区域会在阅读 HTML 邮件消息时阻止 ActiveX 控件被调用,这有助于减轻尝试利用此漏洞的攻击。
然而,如果用户点击了在邮件消息中的链接,他们仍然会通过基于网页的攻击场景,受到这个漏洞的影响。
什么样的配置有危险?
就如通报中所述,Windows XP 和 Windows Server 2003 会被影响。请注意,虽然 Windows Server 2003 被列为受影响的平台,但是 Windows Server 2003 中的增强安全配置(ESC)能够有效缓解 IE 从互联网区域受到的攻击。
我怎样保护自己?
针对当前活跃的攻击,我们建议采用的变通方案是针对 MPEG2TuneRequest ActiveX 控件对象设置 Kill-bit (CLSID 0955AC62-BF2E-4CBA-A2B9-A63F772D46CF)。
为什么我们还建议对 msvidctl.dll 中的其他 ActiveX 控件对象设置 Kill-bit ?
在调查期间,我们发现 msvidctl.dll 中的任何 ActiveX 控件对象都不该被 IE 调用。因此,出于 安全通报 972890 中提到的纵深防御,我们建议对所有这些控件设置 Kill-bit。副作用是非常轻微的。
就如通报中所提到的,我们还提供了自动应用这一变通方案的方法。你可以点击以下按钮来设置针对此控件的 Kill-bit。
更多信息请访问 微软知识库文章 972890
Chengyun Chu,MSRC
*帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利