在2012年5月的周二补丁日微软发布了一个综合的更新文件来修补与Duqu恶意软件有关的字体解析代码漏洞,解决了在Office产品、Windows系统和.NET框架中的一些严重缺陷。这个软件巨人发布了7个安全公告、其中3个评级为“严重”,共修补产品线的23个漏洞。
自从去年11月以来这是微软第2次更新受Duqu木马影响的软件。自从去年10月以来安全研究人员一直在研究Duqu木马,初步的研究发现它与臭名昭著的Stuxnet蠕虫有着类似的代码。不过不像Stuxnet蠕虫那样,Duqu木马不是用来干扰关键的进程。相反,它悄悄地收集厂商工业系统的信息。MS11-087安全公告解决了被Duqu木马利用的Office文档攻击途径。而且在一篇博客中,微软的工程师Jonathan Ness表示在其它的产品也发现同样的代码用于自定义字体,包括第三方的浏览器。Ness强调Duqu木马的攻击目标不是安全公告MS12-034解决的那些软件缺陷。
今天发布的MS12-034作为修复Duqu漏洞的一部分,修补了在Windows Journal Viewer、Silverlight和.NET Framework框架中的10个漏洞。通过将Windows Vista中使用的安全功能添加到Windows XP和Windows Server 2003中,该补丁还解决了某个恶意的键盘布局文件攻击。
VMware公司的研发经理、漏洞专家Jason Miller表示,由于该漏洞的重量性、以及通过简单的路过式攻击就可以触发它,该安全公告极其重要。
“在这个公告中涵盖了你已经拥有的、许多不同类型的操作系统以及不同的产品。它将会触及到网络的许多不同的组件”,Miller说道。此外,他谈到这些漏洞中的3个已经被公开,所以给必要的系统安装补丁尤为重要。
据Miller表示该补丁安装过程需要安全专家许多耐心,安全从业人员应该“反复地检查报告,并且回到他们的系统,确保安装了每个补丁。该安全公告包括30个多个补丁”,可能除了Silverlight没有被广泛地使用以外,每个补丁都同等地重要。
“严重”的微软Office漏洞
安全公告MS12-029的等级也是“严重”,它解决了Office的一个漏洞。由于Office读取RTF文档方式的某个缺陷使得攻击者可以远程执行代码。
位于加利福尼亚红木海岸的漏洞管理厂商、Qualys有限公司的CTO Wolfgang Kandek也表示应该优先考虑安全公告MS12-029,因为该漏洞可以被简单地触发。
“最关键的问题是,在平常的Office产品漏洞中你总是必须打开某个文件才能触发漏洞。而它,你只需要在Outlook中预览消息就能触发它”,Kandek谈道。打开邮件附件中的恶意RTF文件,或者是访问被入侵的web站点也能触发该漏洞。
这个Office的漏洞是危险的,尽管在它们到达用户的收件箱前,通常有过滤器拦截这些恶意文件。RTF文件是十分常见的,很可能被允许通过,Miller表示。成功的攻击能让攻击者完全控制受到影响的系统。
#p#
“一个RTF文档将会释放负载数据。在大多数情况下你不会收到某些类型的文件或是附件,但是RTF文档是常见的,可能会通过检查”,Miller表示。
微软建议用户为他们的word 2003和2007产品,Mac平台的Office 2008 和2011产品,以及Office兼容包的所有支持版本安装更新文件。该更新文件解决了在MS12-030安全公告牌中发现的同样漏洞,并且会重新配置Office产品解析RTF格式数据的方式。
微软的第3个安全公告等级为“严重”,它修补了在.NET框架中的2个漏洞。微软表示,MS12-035安全公告解决的漏洞可以被攻击者远程利用,假设用户访问了恶意的web站点。受害者必须使用能够运行XAML浏览器应用(XAML Browser Applications,简称XBAP)的web浏览器。
在这个安全公告牌中解决的漏洞都涉及到.NET框架所有支持版本的序列化(serialization)过程。当.NET框架错误地把不可信数据当作可信数据对待时,会导致CVE-2012-0160编号的漏洞。当.NET框架在处理过程中处理异常情况时,会造成CVE-2012-0161编号的漏洞。
在这两种情况下,Windows的.NET应用可能被用于绕过代码访问安全限制。此外,微软表示包含专门构造的XBAP的web站点可以利用这个漏洞,如果攻击者能够让用户访问这个站点的话。
Kandek建议安装该补丁文件,但是另一个避免这个漏洞的方法是如果不使用的话就关闭英特网的XBAP功能。“如果你不需要的话,禁用它。这样你会得到一个更为强健的配置”,他说道。
2012年5月的周二补丁日: “重要”的安全公告
5月的更新文件也包括4个评级为“重要”的更新文件。它们解决了Office和Windows系统中的编码错误,这些错误而会允许远程执行代码和扩大权限。这两个Windows更新要求重启,然而其余5个可能需要重启。
MS12-030 安全公告解决了一个公开的、以及五个私下报告的Office漏洞,如果用户打开某个专门构造的Office文件,这些漏洞会允许攻击者远程执行代码。微软建议为所有支持版本的产品安装补丁,包括Excel 2003、2007和2010、Office2007和2010、Mac平台的Office 2008和2011,以及Excel Viewer和Office兼容包。
MS12-032安全公告解决的Visio Viewer 2010漏洞可以允许远程执行代码,假设用户打开了某个专门构造的Visio文件。据微软表示,“当Visio处理专门构造的Visio文件在验证属性时,可以执行远程代码漏洞”,该漏洞在所有支持版本的Visio Viewer 2010产品中都有。
对于所有支持版本的Windows Vista、Server 2008、Windows 7以及Server 2008 R2来说MS12-032安全公告被评级为“重要”。它修改了Windows防火墙处理向外广播数据包的方式、以及Windows系统的TCP/IP协议栈处理绑定IPv6地址到本地接口的方式,以便防止权限提升。
最后一个安全公告MS12-03解决了在Windows Partition Manager产品中的漏洞,在所有支持版本的Windows Vista、Windows 7 、Server 2008以及2008 R2系统上该漏洞也允许权限提升。该补丁纠正了Windows Partition Manager在内存中分配对象的方式。
