微软周二发布了两项重要公告,解决了Outlook Express和Visual Basic中的两个严重漏洞,攻击者可以利用这两个漏洞远程访问敏感数据。
微软发布这些补丁作为其每月例行的补丁计划的一部分。
MS10-031修复Microsoft Visual Basic for Applications(VBA)中的一个严重漏洞。开发者可以利用VBA工具来将第三方工具装入运行各种微软Office应用程序的进程中。对于VBA SDK 6.0以及使用Microsoft VBA的第三方应用程序,此安全更新的等级为“严重”。
内存损坏漏洞使攻击者能远程执行代码,并可能导致受害者的计算机被完全控制。攻击者需要让用户打开一个文件,强制应用程序在运行时向VBA发送恶意代码。对于 Microsoft Office XP、Office 2003 和Office 2007的所有受支持版本,此安全更新等级为“重要”。
补丁管理专家一致认为,尽管攻击者针对这个漏洞来写漏洞利用代码很难,但Visual Basic中的漏洞对微软Office的所有受支持版本有很大的影响。
漏洞管理厂商Qualys公司的首席技术官Wofgang Kandek 说:“虽然对于 Microsoft Office XP、Office 2003 和Office 2007的所有受支持版本,此安全更新等级为‘重要’,但是我们认为这很紧急。”
微软还解决了影响Windows Mail客户端身份验证邮件响应方式的严重漏洞。MS10-030解决了在Windows 2000、XP、Vista和Windows Server 2003和2008上运行的Outlook Express、Windows Mail和Windows Live Mail中的漏洞。攻击者需要引诱用户访问一个恶意电子邮件服务器,来实现攻击。发送恶意代码迫使邮件客户端不需要身份验证。成功利用该漏洞的攻击者可以获得与本地用户相同的用户权限。
微软安全响应中心的响应通信部门经理Jerry Bryant在MSRC的博客中写道,“为了成功利用此漏洞,攻击者需要托管一个恶意邮件服务器或感染一个邮件服务器。或者,攻击者可以执行一个中间人攻击,并试图改变客户端的响应方式。因为Windows Vista和较新的操作系统中有堆缓解,所以这个漏洞被利用的可能性不大。
微软SharePoint仍然易受攻击
影响SharePoint Server 2007和SharePoint Services 3.0的跨站点脚本(XSS)漏洞仍然容易受到远程攻击。针对零日漏洞的概念验证代码是公开。Bryant说,微软的工程师仍在开发和测试修补程序。
该漏洞可以被基于浏览器的攻击利用,使攻击者能够在易受感染的应用程序中执行JavaScript代码。
【编辑推荐】
