紧急安全补丁概述 [转译]

《 本文转译自 Security Research & Defense 博客文章 “ Overview of the out-of-band release ” 》

今天我们发布了 安全通报973882，同时还有两个紧急的安全公告，分别是MS09-034（Internet Explorer 更新）和MS09-035（Visual Studio 更新）。 到目前为止，对于已经部署了 MS09-032 的用户，我们没有发现任何 “不可控” 的利用了 973882 和 MS09-035 中所述漏洞的攻击 。MS09-034 和 MS09-035 共同构建了进一步的防御，以防范针对 ATL 中已知漏洞的攻击。

为什么发布额外的安全补丁？

微软获悉这些漏洞已经有一段时间了，在过去的几周内，关于这个漏洞的额外信息一直在增加。随着 Black Hat 和 Def Con 安全大会的临近，有着相同爱好的人们聚集到一起，如果有更多信息被泄露，他们天生的好奇心会导致用户面临的危险增加。我们已经获悉了一个利用 ATL 漏洞的攻击，该攻击针对的是 msvidctl.dll 控件。 目前，所有已知的攻击在 MS09-032 更新面前都偃旗息鼓。 我们决定 主动提前发布这些安全更新，以一种更可控的方式来保护用户和发现威胁 ，而不是在发现更多利用 ATL 漏洞的威胁和攻击后才采取行动。因为预感在下个补丁日到来之前威胁会增加，所以，在这种特殊情况下，我们相信用额外的补丁来为用户提供保护是最正确的做法。

为什么发布两个独立的安全公告？

这两个安全更新共同解决了独立的 CVE（Common Vulnerabilities and Exposures）问题，它们之间是有关联的。解释如下：

促使额外发行安全公告的相关 CVE 皆包含在 Visual Studio 公告（MS09-035）CVE-2009-0901 和 CVE-2009-2493（ATL 头文件和库文件更新）中，同时在安全通报 973882 中也有详述。这些就是目前公开讨论的可以在一些控件中被利用的 ATL 漏洞。另一方面，我们还发布了 Internet Explorer 更新。当开发者更新他们的控件时，IE 更新可以帮助用户部署 IE 中的深度防御措施，来防范上述所有已知的 ATL 漏洞攻击。在 IE 公告中还有 3 个其它的 CVE，它们与 ATL 问题无关，把它们包含进来是因为IE更新是累积的，去除它们会推迟发布深度防御措施。

归根结底，Visual Studio 公告（MS09-035）中讨论的 CVE 问题和安全通报 973882 中解决的 ATL 问题都达到了一定的威胁程度，所以要发布紧急安全补丁。

什么是 ATL漏洞？

在安全通报 973882 和安全公告 MS09-035 中描述了几个漏洞，我们认为最容易受到关注的是 AT L漏洞，它会忽略 Killbit 的安全检查而允许 COM 对象实例化。许多读者可能还记得我们之前 关于Killbit的博客文章，Killbit 是一个保护机制，它能够用来阻止漏洞控件的使用。我们最近一次使用 Killbit 是在 MS09-032 中，通过设置 Killbit 来防止 MSVidCtl.dll 被加载到 IE 中。所以如果能绕过这个 ActiveX 安全的重要部件，攻击者就能够再次使 MSVid.dll 被加载到 IE 中。当然，用户系统中首先要有其它能导致这个安全措施被绕过的漏洞控件。在 IE 更新（MS09-034）中，我们已经禁止了在用户浏览 Internet 时攻击者可以绕过 Killbit 的所有已知方式。

这两个更新可以做什么？

Visual Studio 安全更新 MS09-035 提供了对公用 ATL 的更新。Visual Studio 组发表了 resource page article，其中为开发者提供了详细指导，帮助评估他们的控件是否有漏洞，并提供了为保护控件可以采取的措施。

我们已经与主要的第三方软件供应商合作，帮助他们理解这个问题和修复控件。更多信息请查看微软 EcoStrat 博客文章。

另外，如前所述，当开发者更新他们的控件时，为了帮助保护用户，我们发布了 IE 安全更新（MS09-034）。这个更新包含了新的深度防御，用来帮助减缓 IE 中加载和实例化包含 ATL 漏洞控件时的威胁。更多信息请查看 Dave Ross 的文章： Internet Explorer Mitigations for ATL Data Stream Vulnerabilities。

指导一览

微软今天发布了多个指导，以下是链接：

• MS09-034：Internet Explorer 公告
• MS09-035：Visual Studio 公告
• 安全通报（KB973882）
• 资源文章：为开发者提供的活动模板库安全更新
• SRD 博客：ATL vulnerability developer deep dive
• SRD 博客：Internet Explorer Mitigations for ATL Data Stream Vulnerabilities
• SRD 博客：MSVIDCTL (MS09-032) and the ATL vulnerability
• SRD 博客：Overview of the out-of-band release
• SDL 博客：ATL, MS09-035 and the SDL
• MSRC 博客：Advisory and Bulletins Released
• BlueHat 博客：Security researcher perspective
• EcoStrat 博客：Threat Complexity Requires New Levels of Collaboration
• Channel 9 video："Inside the ATL Security Update" 开发者指导

建议

首先，部署 IE 安全更新 MS09-034。这个更新能为大家提供更安全的保护，防范企图利用 ATL 漏洞（像已经修复的 MSVIDCTL）的攻击。其次，如果你是软件供应商，且经销使用有漏洞的 ATL 头文件构建的控件，请仔细阅读 Visual Studio组的指导，来评估你的控件是否有漏洞，如有必要，请及时更新。

我们乐意为大家提供 Killbit设置，如有需要，请发送邮件至 secure@microsoft.com.

最后，如有问题，请发送邮件至 switech@microsoft.com.

-Jonathan Ness, MSRC Engineering

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*