微软发布安全通报 973882、安全公告 MS09-034 以及 MS09-035 [转译]

  • Article

《本文转译自 Microsoft Security Response Center 博客文章 “ Microsoft Security Advisory 973882、 Microsoft Security Bulletins MS09-034 and MS09-035 Released ”》

今天,我们发布了 指导和安全更新,用来帮助用户修复在微软 ATL(Active Template Library)中发现的漏洞,该漏洞是通过可靠途径上报的。

因为库通常用于软件开发,软件库中的漏洞可能是很复杂的问题,同时可能从我们的基于共享的防御(来自微软的广泛合作和活动,安全社区和工业)中获益。正因如此,除了今天发布的更新和指导,我们已经通过一些项目,如 Microsoft Active Protections Program (MAPP)、Microsoft Security Vulnerability Research (MSVR) 以及与像 Industry Consortium for the Advancement of Security on the Internet (ICASI) 等组织的合作,积极致力于与工业界的合作,通过工业界的广泛响应来帮助更好地保护用户。尽管这是一个很复杂的问题,但我们坚信,工业界的广泛响应可以对用户的影响最小化。

微软安全公告 MS09-032 解决的漏洞问题就是这样一个典型。这个漏洞虽在安全更新发布前受到过攻击,但这是目前已知的唯一的与 ATL 中漏洞有关的攻击。我们打破常规发布指导和更新是因为当前的更新已经达到了适合广泛发布的质量。由于获悉了利用 MS09-032 中漏洞的一次攻击,我们担心这个漏洞被广泛公开后会给用户安全带来更大风险,所以我们不能等到下次的补丁日 8 月 11 日才发布补丁。

我们从两方面致力于对这个问题的研究:

  1. 帮助开发者识别和找到 ATL 漏洞在其控件或组件中出现的实例;
  2. 减轻将来的攻击对用户的影响。

为了帮助开发者,我们所采取的步骤如下:

  1. 发布 Visual Studio 的更新 MS09-035,为开发者提供可以用来重新构建控件和组件的更新。 请注意 :并不是所有使用有漏洞版本的 ATL 构建的组件都是有漏洞的,这依赖于开发者构建控件或组件时的选择。
  2. 特别发布 developer resource page,向开发者提供详细信息,来辨识使用有漏洞的 ATL 构建的控件或组件是否有漏洞。
  3. 与 Verizon Business 的合作伙伴 ICASI 合作,为用户提供一个免费服务,即扫描开发者的控件和组件,如果存在漏洞,就提供基本的指示和可能的进一步措施,来让用户和开发者修改控件。
  4. 与负责控件和组件的供应商合作,通过 Microsoft Security Vulnerability Research (MSVR) 帮助他们识别和找到 ATL 漏洞在其控件或组件中出现的实例。
  5. 我们向第三方开发者承诺,在微软安全更新中,一经要求,就会为其 ActiveX 控件设置 “Killbits”。

为了减轻将来的攻击对用户的影响,我们采取的步骤如下:

  1. 发布 Internet Explorer 的更新 MS09-034。对于 ATL 问题,IE 本身是没有漏洞的。IE 组已经构建了一个深度防御的改变,来帮助防范针对包含 AT L漏洞的控件或组件的攻击。更多详细信息请查看 Security Research and Defense blog。这个更新还解决了攻击者企图绕过 IE 中的 “Killbits” 保护的问题。另外,这个更新还修复了三个与上述问题无关的漏洞,这些漏洞都是通过可靠途径发现的。
  2. 为我们的 MAPP合作者提供信息,来确保安全保护提供者具备关键的技术知识,能够更加迅速地为用户构建保护措施。
  3. 我们承诺,在微软安全更新中,一旦发现未知发行商的第三方 ActiveX 控件存在漏洞,就会为其设置 “Killbits”。

家庭用户和IT专业人士需要尽快应用 IE 更新 MS09-034,这样就能从它所引入的保护中受益。除此之外,IE8 还提供了额外的安全增强措施,可以进一步减少上述问题的影响。更多详细信息请查看 IE blog。另外,开启第三方软件的自动更新可以帮助大家获得最新的更新。

开发者应该采取和家庭用户、IT 专业人士同样的措施,同时还需要回顾我们提供的帮助大家确定控件或组件中是否存在 ATL 漏洞的信息。除此之外,大家还需要考虑使用 Verizon Business 合作伙伴 ICASI 提供的服务,来识别任何有漏洞的控件或组件。

大家可能还有其它问题,请参考我们在其它安全博客中提供的额外信息。我们的同事在 Security Research and Defense 博客中已有一些相关贴子正如 Jonathan Ness 在他的 Overview 文章。Michael Howard 在 SDL Blog 探讨了关于潜在问题的细节信息。Katie Moussouris 以及 Adrian Stone 谈到 MSVR 就此问题和其他供应商的合作情况 (Ecostrat blog)。最后,三位安全专家 Ryan Smith, Mark Dowd and David Dewey 在 蓝帽大会博客 上讨论他们与我们在解决这个问题上的工作状况。

我们的全球安全组都被调动起来迅速为用户提供保护。我们将继续严密监控威胁情况。我们还会与工业界的伙伴密切合作,一旦出现任何新的相关信息,都会在 MSRC blog 通知大家。

谢谢!

Christopher

*帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利*