CVE-2014-4114 和 CVE-2014-3566

这两天关注安全的人员都会特别留意这两个新披露的漏洞：CVE-2014-4114 和 CVE-2014-3566。下面我们就针对这两个漏洞最一些简要说明。

CVE-2014-4114
-------------------------

这个漏洞已经在本周发布的MS14-060更新中被修复，我们建议用户尽快部署安装此安全更新来防范相关的潜在威胁。这个漏洞存在于Windows系统对于OLE内嵌对象的处理方式中，因此虽然是一个操作系统层面的漏洞，但最为常见的载体却是Office文档等支持OLE对象的文件。作为缓解措施和安全最佳实践，我们建议所有用户在打开任何来源不明的文档时要特别注意，尽量不要直接打开由陌生人发送或分享的Office、PDF等文档。有关此漏洞的更多技术分析内容，大家可以参考https://www.freebuf.com/news/46956.html。

CVE-2014-3566
-------------------------

在这个漏洞最初被曝光的时候，很多人将其和不久前的OpenSSL心脏出血（Heartbleed）漏洞相提并论，认为其危害性堪比Heartbleed。不过事实的情况并非如此。目前CVE-2014-3566的主要危害是泄露用户在SSL加密通道中的信息，比如cookie等，但攻击者要实现这一攻击首先要在用户的网络环境中能够截获客户端和服务器之间的通信，其次攻击者需要发送大量的请求才能获得一个cookie的完整内容，理论上是发送256次请求可以获得一个字节的信息，因此攻击实施的效率并不是太好。有关此漏洞的技术分析可以参考https://drops.wooyun.org/papers/3194。

这是一个专门针对SSL 3.0的信息泄露漏洞，TLS并不受影响。因为SSL 3.0是一个业界的安全协议，所以它不仅影响微软的Windows系统，还同样影响所有支持SSL 3.0的其他系统和应用。也正是因为这是一个业界协议标准中的安全漏洞，修复起来就没有那么容易，微软目前无法直接发布一个更新来更改SSL 3.0协议的处理方式。对于SSL 3.0协议还需要众多厂商和标准组织一起参与，来做出最合适的决定。微软目前也没有计划全面在Windows中禁用SSL 3.0，原因是现在还有非常大量的服务器不能支持TLS而只支持SSL，因此全面禁用SSL 3.0势必会造成大量的兼容性问题。对于普通用户而言，我们还是将禁用SSL 3.0作为针对此漏洞的缓解措施。在禁用SSL 3.0后当然客户端不用再担心因为这个漏洞而导致的信息泄露，但如果用户发现某些HTTPS网站无法访问，那很可能是因为该网站只支持SSL。具体在Windows或IE中禁用SSL 3.0的方式请大家参考微软的安全通报3009008。

程凌

微软大中华区安全项目经理