微软发布2012年1月Windows Media补丁

安全 漏洞
2012年1月补丁更新中,微软发布7个安全公告,包括1个“严重”级别的公告,它修补了一个严重的Windows Media Player缺陷,该缺陷可被用在危险的路过式web站点攻击中。

微软已发布7个安全公告,包括1个“严重(危机)”级别的公告,它修补了一个严重的Windows Media Player缺陷,该缺陷可被用在危险的路过式(drive-by)web站点攻击中。

微软在2012年1月的补丁星期二中共修补了8个漏洞。该更新还解决了已被公共曝光的SSL/TLS实现漏洞。该SSL/TLS协议弱点能让攻击者使用SSL3.0和TLS1.0版本协议拦截加密的Web服务器流量。

Windows Media缺陷影响Windows Media Player、Microsoft Windows Media库以及微软的 DirectShow组件。微软在它的MS12-04安全公告中表示,该应用程序接口(API)设计用来在Windows中启用流媒体。

攻击者通过诱使人们用Windows Media Player运行一个恶意的MIDI文件来利用该缺陷。微软表示,该漏洞可能用在路过式攻击中,或者是通过即时消息或作为邮件附件来发送。任何恶意的媒体文件可能被用来利用该DirectShow错误,在DirectShow解析媒体文件的方式中存在的弱点,但是用户不得不禁用字幕启用选项。该更新文件适用于所有支持的Windows版本,包括Windows 7。该缺陷对Windows XP、Vista、Windows Server 2003及2008的用户们来说为“严重”级别。

位于加利福尼亚红木海岸的漏洞管理厂商Qualys公司的CTO Wolfgang Kandek表示,应该给与该Windows Media Player中的MIDI缺陷最高的优先级,因为该缺陷除了作为邮件附件外可被攻击者用在路过式攻击中。

“无需用户打开文件或是安装解码器,该MIDI文件即可独自播放,所以它可能是特别严重的漏洞”,Kandek说道。“我认为除了关闭字幕显示外,在这些媒体播放器中还有很多人们必须弄明白的事情,尽管所有这些功能都非常棒,但是它们也为攻击者打开了另一扇门”。

SSL/TLS协议的缺陷于去年9月在布宜诺斯艾利斯的Ekoparty安全大会上被曝光,该漏洞能让攻击者窃听加密的会话。微软MS12-006安全公告标识为“重要”级别,该漏洞存在于协议自身并且不仅限于Windows操作系统。在这个安全大会上,独立的安全研究员Juliano Rizzo展示了通过利用该SSL错误从HTTPS请求中解密,并获得认证令牌以及cookies文件的方法。该更新文件适用于所有支持的Windows版本。

MS12-005安全公告被评级为“重要”级别,解决了一个Windows错误,但是赛门铁克安全响应团队的安全智能经理、漏洞专家Joshua Talbot说,该补丁应得到额外的重视,因为它能被轻易地利用。借助包含恶意嵌入ClickOnce应用的微软Office Word或PowerPoint文档,这个Windows.NET中的错误可被远程利用。ClickOnce指基于Windows平台的能自我更新的应用,这些应用可以在最少的用户交互前提下安装并且运行。该更新文件影响到所有支持的Windows版本,修补Windows Packager载入ClickOnce应用的方式。

“该漏洞是由于忽视了一旦用户打开了一个Word或PowerPoint文件后,攻击者能运行恶意软件的情况”,Talbot在声明中说道。“邮件附件可能会是该漏洞被利用的最常见的攻击手法”。

该漏洞在可用性索引中评为1,意味着攻击者能快速地开发针对该漏洞的工具。但是位于加利福尼亚帕洛阿尔托市的虚拟化厂商VMware公司的研发部经理Jason Miller说道,攻击者首先必须学会如何构建ClickOnce应用。

“我看到他们正停留在习惯使用的跨站点脚本以及其它东西上”,Miller说道。“ClickOnce应用正变得更加普遍,特别是随着作为基于云的服务采用方式增长时,但是眼下我不认为这是一个主要的威胁”。

其它更新都被评级为“重要”级别,包括解决了许多Windows错误的MS12-001,解决安全功能逃避(Security Feature Bypass)漏洞的MS12-003,该Windows错误能让攻击者获得特权提升,而MS12-002更新影响到带有嵌入打包对象的合法文件在Windows系统中的运行。

【编辑推荐】

  1. 微软成功上位“云计算管理平台首选品牌”
  2. CES 2012:诺基亚微软欲凭 Lumia 900 重返美国市场
  3. 微软:iPhone迫使我们重新设计移动OS
  4. 微软前技术专家谈大企业的三大管理问题
  5. 微软技术中心架构师杨飞谈:数据中心变革对云计算的价值
责任编辑:Writer 来源: ttw网络
相关推荐

2012-11-21 10:00:15

补丁微软

2013-05-17 09:39:38

2012-12-19 09:40:49

补丁微软

2012-09-12 10:19:14

Windows 8Server 2012

2017-07-18 06:39:35

2017-06-27 15:00:09

2012-09-05 09:18:59

Windows Ser

2023-01-14 09:53:40

2009-01-18 18:26:35

2009-12-09 17:52:12

2009-07-15 09:36:06

2009-05-13 10:40:14

2012-01-06 10:37:20

2013-10-22 13:48:11

Windows RT 微软

2012-07-30 10:42:21

微软Windows 8

2012-04-18 09:14:02

微软Windows Ser

2013-05-15 10:55:25

2009-10-14 08:25:01

Windows 7系统漏洞系统修复

2009-08-13 15:16:47

2009-05-12 09:25:09

点赞
收藏

51CTO技术栈公众号