MS09-037:为什么仍然使用 MS09-035 中的 CVE [转译]


《本文转译自 Microsoft Security Research & Defense 博客文章 MS09-037: Why we are using CVE's already used in MS09-035”》

7月28日,我们发布了 MS09-035 来解决 Visual Studio 活动模板库(ATL)中的漏洞问题。与之相关的安全更新 MS09-034 提供了 IE 中的深度防御,以防范利用漏洞组件的攻击。今天早晨,我们发布了安全公告MS09-037 来修正几个 Windows 组件中的ATL漏洞。

MS09-037包含如下CVE ID:

  • CVE-2008-0015
  • CVE-2008-0020
  • CVE-2009-2494
  • CVE-2009-2493
  • CVE-2009-0901

其中两个 CVE:CVE-2009-2493 和 CVE-2009-0901 也包含在 MS09-035 中。大家可能会有疑问:它们不是已被之前的安全更新修正了吗?这可能有点难以理解,我们用一个表格来解释,希望有所帮助。

 

CVE-2009-2493 和 CVE-2009-0901

MS09-035

通过发布新的 ATL 头文件和库文件来修正漏洞

MS09-037

通过更新受漏洞影响 的Windows 控件的版本来修正漏洞

可以看出,MS09-035 和 MS09-037 是从不同方面解决了同一漏洞问题。

其它三个 CVE(CVE-2008-0015, CVE-2008-0020, CVE-2009-2494)描述的漏洞仅出现在 ATL 代码的 Windows 私有部分。由于 MS09-035 是随 Visual Studio 发行的公共 ATL 头文件和库文件的更新,这些讨论 Windows 私有 ATL 代码漏洞的 CVE 就没有包含在 MS09-035 中。在发布 MS09-035 安全更新的同时,没有必要马上为 Visual Studio 用户发布这三个新 CVE 的补丁。

以 CVE-2008-0015 为例来说明我们对 CVE 的使用。我们在 MS09-032 中使用 CVE-2008-0015 是针对 msvidctl.dll 的远程代码执行漏洞。在 MS09-037 中再次使用 CVE-2008-0015 时,涉及的是 msvidctl.dll 中的相同漏洞。对于存在完全相同漏洞的控件,若在 MS09-037 中又被修正,我们仍使用相同 的CVE(这个例子中是 CVE-2008-0015)。

希望上述内容有助于大家理解 ATL 相关的 CVE。

- Chengyun Chu, MSRC Engineering

*帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利*

Comments (0)

Skip to main content