MS09-037：为什么仍然使用 MS09-035 中的 CVE [转译]

《本文转译自 Microsoft Security Research & Defense 博客文章 “ MS09-037: Why we are using CVE's already used in MS09-035 ”》

7月28日，我们发布了 MS09-035 来解决 Visual Studio 活动模板库（ATL）中的漏洞问题。与之相关的安全更新 MS09-034 提供了 IE 中的深度防御，以防范利用漏洞组件的攻击。今天早晨，我们发布了安全公告MS09-037 来修正几个 Windows 组件中的ATL漏洞。

MS09-037包含如下CVE ID：

• CVE-2008-0015
• CVE-2008-0020
• CVE-2009-2494
• CVE-2009-2493
• CVE-2009-0901

其中两个 CVE：CVE-2009-2493 和 CVE-2009-0901 也包含在 MS09-035 中。大家可能会有疑问：它们不是已被之前的安全更新修正了吗？这可能有点难以理解，我们用一个表格来解释，希望有所帮助。

可以看出，MS09-035 和 MS09-037 是从不同方面解决了同一漏洞问题。

其它三个 CVE（CVE-2008-0015, CVE-2008-0020, CVE-2009-2494）描述的漏洞仅出现在 ATL 代码的 Windows 私有部分。由于 MS09-035 是随 Visual Studio 发行的公共 ATL 头文件和库文件的更新，这些讨论 Windows 私有 ATL 代码漏洞的 CVE 就没有包含在 MS09-035 中。在发布 MS09-035 安全更新的同时，没有必要马上为 Visual Studio 用户发布这三个新 CVE 的补丁。

以 CVE-2008-0015 为例来说明我们对 CVE 的使用。我们在 MS09-032 中使用 CVE-2008-0015 是针对 msvidctl.dll 的远程代码执行漏洞。在 MS09-037 中再次使用 CVE-2008-0015 时，涉及的是 msvidctl.dll 中的相同漏洞。对于存在完全相同漏洞的控件，若在 MS09-037 中又被修正，我们仍使用相同 的CVE（这个例子中是 CVE-2008-0015）。

希望上述内容有助于大家理解 ATL 相关的 CVE。

- Chengyun Chu, MSRC Engineering

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*