在四月的补丁星期二中,微软发布了一个重大的浏览器安全更新,修复了关键IE漏洞。此外,微软还修复了一个严重的ActiveX控件,该控件涉及产品众多、影响广泛,攻击者正积极的以基于浏览器的攻击方式对相关产品进行攻击。
周二,微软公司发布了六个安全公告,其中包括4个被定为“严重(危急)”级别的公告和两个被定为“重要”级别的公告,共解决了其产品线上的11个漏洞。
微软给予严重级别的IE更新为最高优先级。它影响所有版本的Internet Explorer,解决了五个漏洞,网络犯罪分子可以在进行路过式攻击(drive-by attacks)时利用这些漏洞从而获取同受害者相同的权限。对于运行在Windows服务器上的IE而言,该更新被定为“中等”级别。
“一旦更新被发布,攻击者就有能力对该补丁进行逆向工程,他们会发现代码中哪些东西被更改了,并找到脆弱的部分,”端点安全厂商Total Defense公司的威胁研究总监Don DeBolt说道,“几天之内,他们应该就可以开发出一个漏洞。”
DeBolt表示,对攻击者来说,利用受害者的漏洞并不困难。使用恶意链接或搜索引擎中毒的鱼叉式网络钓鱼攻击(Spear phishing attacks )是常见的诱骗终端用户访问恶意网站的方法。
IE漏洞中有一个关于浏览器打印功能的问题,以及各种内存和JavaScript处理错误。此次更新修复了打印功能,加强了在浏览器地址栏中JavaScript的浏览器使用。微软感谢TippingPoint的Zero-day Initiative,VeriSign iDefense公司实验室和和一些研究人员发现了编码错误。
ActiveX控件错误被广泛的利用
据漏洞管理厂商Qualys公司首席技术官Wolfgang Kandek说,他们还解决了一个Windows通用控件ActiveX控件(Windows Common Controls ActiveX control )的关键更新。
微软表示,该更新禁用易受攻击的Windows通用控件版本,并用新版本替换它。它还发布了知识库文件,详细介绍了部署更新时可能会遇到的常见问题。ActiveX控件的更新涉及Windows上的Office 2003至2010版本,SQL Server 2000至2008版本,BizTalk Server 2002和Commerce Server 2002至2009版本。它还修复了微软的开发工具,Visual FoxPro 8和Visual Basic 6运行系统。
在博客中,Kandek写道,该更新会影响一些不常用的微软产品。通过让受害者访问针对ActiveX控件的恶意网站,攻击者可远程瞄准该漏洞。
“针对基础漏洞CVE-2012-0158,攻击者将ActiveX控件漏洞嵌入到一个RTF文件中,诱使目标进入并打开文件,最常见的文件形式是电子邮件中的附件,”Kandek说道,“另一个可能的攻击媒介是网页浏览,不过通过上面所提到的任何应用程序也都是可以攻击组件的。”
微软还发布了一个补丁,修复了一个影响所有Windows版本的关键漏洞。该WinVerifyTrust签名验证(Signature Validation)漏洞影响移植可执行(portable executable,PE)文件所使用的Windows功能。一个精明的攻击者可以在没有签名的情况下,修改现有签名的可执行文件,从而完全控制受影响的系统。
最后一个严重公告解决了微软.NET框架中的严重漏洞。该更新影响所有支持的.NET框架版本。参数验证漏洞是框架验证参数过程中(把数据传递给一个函数)的一个错误。该漏洞可被攻击者用来攻击针对.NET的应用程序。微软说,通过在网络广告或论坛中嵌入恶意代码,该漏洞可被用来进行路过式攻击。
最后,再来看看微软发布的两个“重要”级别的公告。这两个公告修复了统一接入网关(Unified Access Gateway,UGA)中的两个漏洞,和Microsoft Office和Microsoft Works中的一个漏洞。 Office Works文件转换器(File Converter)中有一个内存错误。该错误影响Office 2007和Works 9。此外,UGA漏洞可以允许来自外部网络的未经授权的用户访问微软UAG服务器的默认网站。
