九月份严重安全公告之风险评估 [转译]


《本文转译自 Microsoft Security Research & Defense 博客文章Assessing the risk of the September Critical security bulletins”》

今天清晨,我们发布了五个安全公告,它们都属于严重级别,其中有两个达到了公告最高利用指数“1”(可能的稳定一致漏洞利用代码)。下面我们简要介绍各个公告,来帮助大家区分部署本月更新的优先次序。下表分别列出了五个严重等级公告的严重性和减弱了风险的平台。

公告 ID

主要攻击利用方式

最高利用指数

随后30天内的可能影响

平台缓解性

MS09-047

通过 IE 浏览恶意网站;作为 email 附件的 ASF 或MP3 文件

1

在登入用户的环境中发起代码执行攻击

运行在 XP SP3 和 Vista SP1 上的 IE8 由于有 DEP 而使风险有所减弱;

Windows Server 2003 和 2008 由于有增强的安全配置而使风险有所减弱;

Vista 和 Windows Server 2008 有强化的堆改进而使攻击更加困难。

MS09-045

通过IE浏览恶意网站

1

在登入用户的环境中发起代码执行攻击

运行在 XP SP3 和 Vista SP1 上的 IE8 由于有 DEP 而使风险有所减弱;

Windows Server 2003 和 2008 由于有增强的安全配置而使风险有所减弱。

MS09-048

攻击者发送一连串恶意的TCP/IP 包

2

发起攻击,导致机器资源耗尽的拒绝服务

Windows Vista 在“Public”网络环境下不受影响。

MS09-049

攻击者向附近工作站发送有缺陷的无线帧

2

发起攻击,导致 wlansvc服务崩溃

Windows Server 2008 由于有增强的安全配置而使风险有所减弱;

Vista 和 Windows Server 200 8有强化的堆改 (Heap) 进而使攻击更加困难。

MS09-046

通过 IE 浏览恶意网站

2

发起攻击,导致IE崩溃

运行在 XP SP3 上的 IE8 由于有 DEP 而使风险有所减弱;

Windows Server 2003 由于有增强的安全配置而使风险有所减弱。

关于 MS09-045 和 MS09-046 的信息

MS09-045MS09-046 都是挂马类型的漏洞。攻击利用方式最可能是含有特制脚本(MS09-045)或恶意使用 DHTML ActiveX 控件(MS09-046)来影响访问用户的恶意网站。从更新中可以看出,干扰脚本引擎的漏洞对逆向工程比较困难,所以攻击者可能要多花工夫来找到漏洞和发起攻击。在 30 天内,我们还是有可能看到确定的攻击的,因此把 MS09-045 的利用指数定为“1”。MS09-046 的重现性更直观,而且可能被发现,不过,发起确定的代码执行攻击更加困难。

关于 MS09-047 的信息

MS09-047 包含的两个 CVE 的利用方式也最可能是恶意网站,不过这些漏洞也可以被作为 Email 附件的多媒体文件利用。当受害者双击附件并在对话框中点击“打开”时,多媒体文件就会触发漏洞代码。这些漏洞都是通过可靠途径发现的,在外界尚未发现攻击。不过,它们都非常直观,所以攻击者不需花费太多功夫就可以找到漏洞。补丁发布后的一个月内看到对这两个 CVE 或其中之一的利用并不奇怪。

关于 MS09-048 的信息

MS09-048 解决了 TCP/IP 协议栈实现中的漏洞问题。要触发漏洞代码,攻击者必须用特制的 TCP/IP 包向受害者发起洪泛攻击,必须产生如下两种拒绝服务后果之一:

  • 系统运行溢出非分页存储池(CVE-2008-4609 和 CVE-2009-1926)
  • 系统错误地处理一个连接的哈希(杂凑)值,使内核模式代码崩溃,导致重启或蓝屏死机(CVE-2009-1925)

CVE-2009-1925 被定为严重级别,因为攻击者强制系统调用一个随机的内核地址。不过,根据我们的研究,攻击者对这个地址不会有足够的控制来实现确实的代码执行。在 Mark Wodrich 的博客文章中能看到关于它的全部信息。这个漏洞的利用指数级别是“2”。

CVE-2008-4609 是 MS09-048 中最可能被进一步研究的问题,因为它是由存在相同漏洞的多家公司合作发布的。思科也于今天早上十点发布了安全通报。点此链接查看他们的更多信息http://www.cisco.com/en/US/products/products_security_advisories_listing.html#advisory

关于 MS09-049 的信息

MS09-049 解决了 Windows Vista 处理无线网络请求的方式的问题。能够发送有缺陷无线帧的攻击者会导致 Windows Vista 用户模式服务(wlansvc)崩溃。这个漏洞很难被利用,因为 Windows Vista 有强化的堆管理器 (heap manager)。攻击者最有可能使服务崩溃,从而干扰访问(或自动连接到)新网络的能力。如果已经连接到一个网络,机器会保持连接。攻击不会导致机器重启。攻击者有可能发现漏洞,不过,Windows Vista 的堆缓解会使确实的攻击难以实现。

感谢这篇文章中 Mark Wodrich 对 TCP/IP 和无线问题的分析。也非常感谢帮助修改这篇文章的审阅者:MSRC 工程小组的 Damian Hasse, Andrew Roths, Greg Wroblewski, Robert Hensing, 和 Gavin Thomas 以及 MSRC Operations 的Mike Reavey。

- Jonathan Ness, MSRC Engineering

*帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利*

Comments (0)

Skip to main content