微软公司(Microsoft Corp.)周二修补了Windows系统的七个漏洞,其中一个被标记为“危急”,攻击者只要让用户浏览恶意图片或访问恶意网站,就可能触发该漏洞。
在这三个安全更新中,最严重的,也是首先要打补丁的是ms09 - 006研究人员今天说。该更新包含三个独立的漏洞,包含本月唯一的关键漏洞。
安全公司Qualys的首席技术官Wolfgang Kandek说:“它存在于所有版本的Windows中,深入到内核和GDI中。”“你可能会在很多方面受到剥削。我可以给你发电子邮件,或者让你去恶意网站。”
Shavlik Technologies LLC的首席技术官埃里克·舒尔茨(Eric Schultze)说:“MS09-006真是太邪恶了。”“看到邪恶的东西,你就被黑了。”
据微软称,关键的漏洞是由于“输入验证不当从用户模式传递通过GDI内核组件。”图形设备接口(GDI)的核心图形渲染的Windows组件。由于该缺陷是在内核中,一个成功的攻击会离开与机器的完全控制的攻击者。
“随着GDI的历史,人们真的会看这个,”预言安德鲁风暴,nCircle公司在网络安全公司微软安全业务总监固定GDI是去年的三倍,最最近在2008年12月和Windows内核的两倍。“这就像倒带,重复,”风暴说。
微软表示,攻击者将使用错误的WMF (Windows元文件)或EMF(增强元文件)图像来利用漏洞,通过电子邮件将其发送给用户或托管在网站上。打开或查看图像将触发该漏洞。
“我喜欢微软如何承认,攻击者可以通过让用户查看电子邮件或访问Web站点或打开一个文档与一个邪恶的图像利用此,”舒尔茨说。
但由于微软评为漏洞“3”在其可利用性指数他表示,他很困惑,认为在未来30天内可能不会出现有效的攻击代码。“现在我不确定。这显然是最危险的弱点,但可利用性指数在3,我真的应该担心它吗?”
风暴回答了他自己的问题。他说:“我不得不从安全的角度考虑,认为这是一个重大缺陷,并把它放在首要位置。”
坎德克、舒尔茨和斯图姆斯同意的另一个需要立即关注的更新是ms09 - 008,其中包含在Windows的DNS和WNS服务器四个独立的缺陷。全部四是盯住为“重要”的第二高微软的四步计分制排名。Windows的所有当前支持的服务器版本需要进行修补,包括Windows 2000服务器,Server 2003和Server 2008中。
“这些漏洞可能允许远程攻击者将网络流量重定向用于系统在互联网上攻击者自身的系统,”微软说。这类攻击通常被称为“缓存中毒”攻击,因为它们将DNS服务器缓存中的合法地址替换为虚假目的地。去年7月,研究人员丹·卡明斯基发现DNS缓存中毒漏洞发现了一个重大缺陷在底层的DNS协议中,并组织了一个行业范围的补丁努力来填补这个漏洞。
“这些似乎与[卡明斯基的脆弱性]是分开的,”坎德克说,舒尔茨也同意。然而,风暴就不那么确定了。
“这听起来很像我们去年夏天看到的,”他反驳道。
不过,虽然微软标签的更新一样重要,舒尔茨认为,应该考虑的关键。“微软似乎认为有某人拔去的可能性也不大开发的这一点,”他说,“但已经发布了08-037码,另一个DNS漏洞去年,微软额定那也很重要。要我,这让我率这一种是至关重要的。”
今天的第三次更新ms09 - 007修复了Windows中的安全通道(SChannel)安全数据包中的缺陷,如果利用,可以让攻击者冒充合法用户。Kandek,Sarwate和风暴都认为,SChannel中的漏洞是一个可以等待被修补。
“我不认为这有什么大不了的,”坎德克说。
然而,本月的更新中缺少了一个针对微软两周前披露的Excel漏洞的补丁,微软已经承认了这个漏洞已被攻击者使用。根据赛门铁克(symc . o:行情)。研究人员,脆弱性是所有受支持的文件格式错误版本,包括最新的——Excel 2007在Windows和Mac Excel 2008。
今天,对于期待微软尽快推出一个Excel补丁是否合理,研究人员产生了分歧。Qualys公司漏洞实验室的经理Amol Sarwate说:“考虑到Excel的高可见度和Excel用户的数量,我预计会有一个。”
“我们应该期待一个补丁,”舒尔茨说。“而我们不能相处,这太糟糕了。”
“不,它没有准备好,我一点也不惊讶,”风暴说。“但如果事态升温,我们在未来几周看到一个补丁,我不会感到惊讶。”
3月份的三个安全更新可以通过微软升级和Windows升级服务,以及Windows服务器升级服务下载和安装。
这个故事,“微软补丁‘邪恶的’Windows内核bug”最初是由《计算机世界》 。