九月份严重安全公告之风险评估 [转译]

《本文转译自 Microsoft Security Research & Defense 博客文章 “ Assessing the risk of the September Critical security bulletins ”》

今天清晨，我们发布了五个安全公告，它们都属于严重级别，其中有两个达到了公告最高利用指数“1”（可能的稳定一致漏洞利用代码）。下面我们简要介绍各个公告，来帮助大家区分部署本月更新的优先次序。下表分别列出了五个严重等级公告的严重性和减弱了风险的平台。

关于 MS09-045 和 MS09-046 的信息

MS09-045 和 MS09-046 都是挂马类型的漏洞。攻击利用方式最可能是含有特制脚本（MS09-045）或恶意使用 DHTML ActiveX 控件（MS09-046）来影响访问用户的恶意网站。从更新中可以看出，干扰脚本引擎的漏洞对逆向工程比较困难，所以攻击者可能要多花工夫来找到漏洞和发起攻击。在 30 天内，我们还是有可能看到确定的攻击的，因此把 MS09-045 的利用指数定为“1”。MS09-046 的重现性更直观，而且可能被发现，不过，发起确定的代码执行攻击更加困难。

关于 MS09-047 的信息

MS09-047 包含的两个 CVE 的利用方式也最可能是恶意网站，不过这些漏洞也可以被作为 Email 附件的多媒体文件利用。当受害者双击附件并在对话框中点击“打开”时，多媒体文件就会触发漏洞代码。这些漏洞都是通过可靠途径发现的，在外界尚未发现攻击。不过，它们都非常直观，所以攻击者不需花费太多功夫就可以找到漏洞。补丁发布后的一个月内看到对这两个 CVE 或其中之一的利用并不奇怪。

关于 MS09-048 的信息

MS09-048 解决了 TCP/IP 协议栈实现中的漏洞问题。要触发漏洞代码，攻击者必须用特制的 TCP/IP 包向受害者发起洪泛攻击，必须产生如下两种拒绝服务后果之一：

• 系统运行溢出非分页存储池（CVE-2008-4609 和 CVE-2009-1926）
• 系统错误地处理一个连接的哈希(杂凑)值，使内核模式代码崩溃，导致重启或蓝屏死机（CVE-2009-1925）

CVE-2009-1925 被定为严重级别，因为攻击者强制系统调用一个随机的内核地址。不过，根据我们的研究，攻击者对这个地址不会有足够的控制来实现确实的代码执行。在 Mark Wodrich 的博客文章中能看到关于它的全部信息。这个漏洞的利用指数级别是“2”。

CVE-2008-4609 是 MS09-048 中最可能被进一步研究的问题，因为它是由存在相同漏洞的多家公司合作发布的。思科也于今天早上十点发布了安全通报。点此链接查看他们的更多信息https://www.cisco.com/en/US/products/products_security_advisories_listing.html#advisory。

关于 MS09-049 的信息

MS09-049 解决了 Windows Vista 处理无线网络请求的方式的问题。能够发送有缺陷无线帧的攻击者会导致 Windows Vista 用户模式服务（wlansvc）崩溃。这个漏洞很难被利用，因为 Windows Vista 有强化的堆管理器 (heap manager)。攻击者最有可能使服务崩溃，从而干扰访问（或自动连接到）新网络的能力。如果已经连接到一个网络，机器会保持连接。攻击不会导致机器重启。攻击者有可能发现漏洞，不过，Windows Vista 的堆缓解会使确实的攻击难以实现。

感谢这篇文章中 Mark Wodrich 对 TCP/IP 和无线问题的分析。也非常感谢帮助修改这篇文章的审阅者：MSRC 工程小组的 Damian Hasse, Andrew Roths, Greg Wroblewski, Robert Hensing, 和 Gavin Thomas 以及 MSRC Operations 的Mike Reavey。

- Jonathan Ness, MSRC Engineering

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*