紧急安全补丁概述 [转译]


本文转译自 Security Research & Defense 博客文章 “Overview of the out-of-band release

今天我们发布了 安全通报973882,同时还有两个紧急的安全公告,分别是 MS09-034(Internet Explorer 更新)和 MS09-035(Visual Studio 更新)。到目前为止,对于已经部署了 MS09-032 的用户,我们没有发现任何 “不可控” 的利用了 973882 和 MS09-035 中所述漏洞的攻击。MS09-034 和 MS09-035 共同构建了进一步的防御,以防范针对 ATL 中已知漏洞的攻击。

为什么发布额外的安全补丁?

微软获悉这些漏洞已经有一段时间了,在过去的几周内,关于这个漏洞的额外信息一直在增加。随着 Black Hat 和 Def Con 安全大会的临近,有着相同爱好的人们聚集到一起,如果有更多信息被泄露,他们天生的好奇心会导致用户面临的危险增加。我们已经获悉了一个利用 ATL 漏洞的攻击,该攻击针对的是 msvidctl.dll 控件。目前,所有已知的攻击在 MS09-032 更新面前都偃旗息鼓我们决定主动提前发布这些安全更新,以一种更可控的方式来保护用户和发现威胁,而不是在发现更多利用 ATL 漏洞的威胁和攻击后才采取行动。因为预感在下个补丁日到来之前威胁会增加,所以,在这种特殊情况下,我们相信用额外的补丁来为用户提供保护是最正确的做法。

为什么发布两个独立的安全公告?

这两个安全更新共同解决了独立的 CVE(Common Vulnerabilities and Exposures)问题,它们之间是有关联的。解释如下:

促使额外发行安全公告的相关 CVE 皆包含在 Visual Studio 公告(MS09-035)CVE-2009-0901 和 CVE-2009-2493(ATL 头文件和库文件更新)中,同时在安全通报 973882 中也有详述。这些就是目前公开讨论的可以在一些控件中被利用的 ATL 漏洞。另一方面,我们还发布了 Internet Explorer 更新。当开发者更新他们的控件时,IE 更新可以帮助用户部署 IE 中的深度防御措施,来防范上述所有已知的 ATL 漏洞攻击。在 IE 公告中还有 3 个其它的 CVE,它们与 ATL 问题无关,把它们包含进来是因为IE更新是累积的,去除它们会推迟发布深度防御措施。

归根结底,Visual Studio 公告(MS09-035)中讨论的 CVE 问题和安全通报 973882 中解决的 ATL 问题都达到了一定的威胁程度,所以要发布紧急安全补丁。

什么是ATL漏洞?

在安全通报 973882 和安全公告 MS09-035 中描述了几个漏洞,我们认为最容易受到关注的是 AT L漏洞,它会忽略 Killbit 的安全检查而允许 COM 对象实例化。许多读者可能还记得我们之前 关于Killbit的博客文章,Killbit 是一个保护机制,它能够用来阻止漏洞控件的使用。我们最近一次使用 Killbit 是在 MS09-032 中,通过设置 Killbit 来防止 MSVidCtl.dll 被加载到 IE 中。所以如果能绕过这个 ActiveX 安全的重要部件,攻击者就能够再次使 MSVid.dll 被加载到 IE 中。当然,用户系统中首先要有其它能导致这个安全措施被绕过的漏洞控件。在 IE 更新(MS09-034)中,我们已经禁止了在用户浏览 Internet 时攻击者可以绕过 Killbit 的所有已知方式。

这两个更新可以做什么?

Visual Studio 安全更新 MS09-035 提供了对公用 ATL 的更新。Visual Studio 组发表了 resource page article,其中为开发者提供了详细指导,帮助评估他们的控件是否有漏洞,并提供了为保护控件可以采取的措施。

我们已经与主要的第三方软件供应商合作,帮助他们理解这个问题和修复控件。更多信息请查看微软 EcoStrat 博客文章

另外,如前所述,当开发者更新他们的控件时,为了帮助保护用户,我们发布了 IE 安全更新(MS09-034)。这个更新包含了新的深度防御,用来帮助减缓 IE 中加载和实例化包含 ATL 漏洞控件时的威胁。更多信息请查看 Dave Ross 的文章: Internet Explorer Mitigations for ATL Data Stream Vulnerabilities

指导一览

微软今天发布了多个指导,以下是链接:

建议

首先,部署 IE 安全更新 MS09-034。这个更新能为大家提供更安全的保护,防范企图利用 ATL 漏洞(像已经修复的 MSVIDCTL)的攻击。其次,如果你是软件供应商,且经销使用有漏洞的 ATL 头文件构建的控件,请仔细阅读 Visual Studio组的指导,来评估你的控件是否有漏洞,如有必要,请及时更新。

我们乐意为大家提供 Killbit设置,如有需要,请发送邮件至 secure@microsoft.com.

最后,如有问题,请发送邮件至 switech@microsoft.com.

-Jonathan Ness, MSRC Engineering

*帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利*

Comments (0)

Skip to main content