微软修补了26个漏洞,包括一个已经被利用的ie浏览器漏洞。该公司还警告用户说,它将发起新的零日攻击,并消除了Duqu木马利用的另一个漏洞。
周二,微软修补了26个漏洞,其中包括一个已经被利用的IE漏洞。该公司还警告用户说,它将发起新的零日攻击,并消除了Duqu木马利用的另一个漏洞。
微软还在最后一刻放弃了一项安全更新,代之以另一项,可能是因为第二次更新更为严重。
在本周二发布的7个安全更新中,有3个被评为“严重”,被微软列为最严重的威胁,另外4个被评为“重要”,被列为第二严重的威胁。
这26个漏洞——比微软上周告诉用户预期的还多一个——包括10个关键漏洞,14个重要漏洞,以及两个被微软的四步评分系统评为“中等”漏洞。
独立研究人员几乎一致认为ms12 - 037因为Windows用户应该首先获取更新。
这一系列的13个错误补丁影响到所有版本的IE,包括Windows 8消费者预览版的IE10, 2月份的高峰已经被两周前的预览版所取代。
VMware的研发经理Jason Miller说:“部署IE的更新总是很重要的。”他提到了浏览器的流行,尤其是在商业领域,因此可能会有大量的受害者。
微软他承认,这12个面包师中的一个已经被黑客利用了,并强调了立即应用更新的重要性。“微软知道有有限的攻击试图利用这个漏洞,”该公司的建议说,但没有透露正在进行的攻击的其他细节。这个漏洞只会影响IE8,这是2009年的版本,仍然是微软使用最广泛的浏览器版本。
微软表示,MS12-037修复的第二个漏洞已被公开。
还包括在13个关键的弱点,法国公司在今年3月的Pwn2Own竞赛中,Vupen的安全性被用来攻击IE9在这里,研究人员与浏览器争夺现金奖励。对于它的努力,它不仅对IE9进行了攻击,而且还对IE9进行了攻击谷歌Vupen团队获得了6万美元的奖金。
上周,nCircle安全部门的安全运营总监安德鲁·斯图斯打赌Vupen漏洞会被修补本月。但他在周二表示,IE的升级和竞争对手之间的差距太大,ms12 - 036为了先修正的荣誉。
风暴说:“当然,[MS12-036]是最令人担忧的。”
该更新也被评为“关键”级,仅仅修补了远程桌面协议(RDP)中的一个漏洞,RDP是Windows组件,允许用户远程访问PC或服务器。RDP经常被企业帮助台、非现场用户和IT管理员用于管理公司数据中心和企业部署到的服务器2020欧洲杯预赛云的服务提供者。
大多数研究人员都担心RDP的bug。
风暴说:“这可能是可虫的。”
“绝对是虫的,”米勒附和道。
微软表示,这个名为CVE-2012-0173的漏洞可能被攻击者利用,攻击者只需向启用RDP的系统发送特制的数据包。所有版本的Windows,包括客户端和服务器,都受到影响,从Windows XP SP3到Windows 7SP1。
研究人员有一种似曾相识的感觉。
微软修补了一个非常类似的RDP漏洞在3月发布MS12-020更新。当时,米勒说他被这个漏洞和它在网络攻击蠕虫中的潜在利用“吓坏了”。风暴说它“拥有一种典型蠕虫的所有成分”。
但是故事还有更多的内容:仅仅三天后,意大利漏洞研究员Luigi Auriemma,他在2011年5月发现了一个刚刚修补的RDP漏洞,指控微软泄露了他的PoC攻击代码中国黑客。
奥里玛把这个PoC提交给惠普的一个漏洞奖励计划,以证明这个漏洞;惠普又把它传给了微软。
但Auriemma在中国论坛和网站上发现了完全相同的代码,其中一些是已知的黑客聚集地。
7周后,微软抛弃了一个中国合作伙伴该公司为数十家防病毒公司提供信息共享服务。微软表示,DPTech“违反了我们的保密协议”,因为它将泄密归咎于微软。
“看起来微软在三月份修补了漏洞之后进行了进一步的调查,并发现了这个漏洞,”storm说。
Qualys漏洞研究实验室的经理Amol Sarwate对此表示赞同。“实际上,这很常见,”Sarwate在谈到微软发现的另一个漏洞代码时表示。
从理论上讲,使用RDP的企业在3月份会遵循微软的建议,通过阻塞防火墙的端口或启用网络级别认证(NLA),在RDP会话开始前强制进行认证来锁定网络。这样做可以阻止“三月号”和“六月号”的漏洞被利用。
Miller并不乐观,IT管理人员已经做到了这一点。米勒说:“除非缓解措施有一个补丁,否则他们很难有时间手动进行。”“但是RDP应该只对本地网络中的机器可用。”
没错,Pierluigi Stella补充道,他是网络盒子美国公司的首席技术官,这家公司总部位于休斯顿。
斯特拉在周二的一封电子邮件中说:“在这份工作的10多年里,我仍然不能理解为什么有人会在没有VPN或像Citrix这样的远程连接软件保护的情况下打开[RDP]到互联网的端口。”“然而,即使在我们的客户中,我们也发现有几个人要求从互联网上开放这个端口,尽管我们强烈反对。”
其他安全更新来自于微软在。net框架中修补的缺陷,该公司的Lync企业即时通讯产品,Windows的内核和内核模式驱动程序,以及微软Dynamics AX 2012,企业资源规划(ERP)程序。
其中一些需要仔细检查,米勒说。
“如果你不复习[ms12 - 039和ms12 - 040你可能会错过一些东西,”米勒说。“我们常常以为我们的补丁管理产品会覆盖所有产品和补丁,(但是)保持警惕、阅读所有发布的信息以确保你的网络100%覆盖是很重要的。”
Miller所指的是那些公告的脚注,这些公告告诉客户,一些补丁(比如MS12-039, Lync更新)和所有补丁(MS12-040,会影响Dynamics AX)必须从微软的下载中心手动下载。它们不是通过通常的Windows更新服务或企业级Windows服务器更新服务(WSUS)软件提供的。
Lync的这次更新有它自己的背景故事引起了研究人员的兴趣。
在MS12-039中被修补的一个漏洞在其他微软软件中已经被修复过多次,第一次是在2011年11月,第二次是在2012年5月。在每种情况下,错误都是在解析TrueType字体的代码中找到的。
上个月,微软承认,该代码被复制粘贴到多个产品中,并表示正在追踪每一个此类事件。
这个字体解析代码值得注意的是,它在去年秋天被Duqu所利用,Duqu是一种复杂的网络间谍木马,大多数专家认为它与更臭名昭著的Stuxnet病毒有关,Stuxnet病毒在2009年和2010年被用来破坏伊朗的核计划。
Qualys的首席技术官Wolfgang Kandek说:“微软已经做了源代码审计,以找到使用这种(字体解析代码)的实例。”“这个月的可能是那次审计的遗留问题。”
斯莫思猜测,微软是在最后一刻添加了MS12-039的,上周的提前通知中没有提到Lync的更新,原因是与Duqu的关系。
另一位专家、BeyondTrust的首席技术官马克•迈弗雷特(Marc Maiffret)指责微软不断地为同一漏洞打补丁。
Maiffret在一封邮件中说:“在Duqu修复TrueType字体解析7个月后,同样的代码重用问题(再次)浮出了它丑陋的头。”
事实上,Lync的更新取代了微软原本打算在周二发布的一个更新,但由于某种原因被取消了。该公司没有解释为何突然停止更新,该更新是为了给Windows上的所有版本的Microsoft Office打补丁,但之前在最后一刻做出修改,是因为它发现了更新中的漏洞,或者遇到了与自己或重要第三方软件的兼容性问题。
包括storm在内的研究人员预计,微软将在下个月发布推迟的Office更新。
微软也发布了新的安全咨询他承认,攻击者利用了所有版本Windows(以及Office 2003和Office 2007)中一个关键的未打补丁的漏洞,欺骗受害者访问恶意网站。
“我们的调查正在进行中,”微软可信计算团队的安吉拉·冈说博客星期二。
在补丁准备好之前,Gunn敦促客户运行免费工具“搞定”微软开始阻止针对IE用户的攻击。
谷歌的安全团队发现了这些攻击,并与一家中国安全公司一起向竞争对手微软报告了漏洞博客它自己的星期二。它还提供了比微软更多的信息。
谷歌安全工程师安德鲁•莱昂斯(Andrew Lyons)表示:“这些攻击是通过针对ie用户的恶意网页和Office文档进行的。”
微软没有确定补丁的交付日期,但米勒说,如果微软在7月10日之前发布Windows和Office的紧急更新,他不会感到惊讶。
6月份的7个安全更新可以通过微软升级和Windows升级服务以及WSUS下载和安装。
metatag数据补丁周二,微软,Windows, Internet Explorer, IE, Windows 8消费者预览,Gregg Keizer, Andrew storm,网络战,震网,Duqu, Wolfgang Kandek, Jason Miller,谷歌,Chrome, Office,零日,带外,蠕虫,RDP,
Gregg Keizer为计算机世界涵盖微软,安全问题,苹果,网络浏览器和一般技术的突发新闻。在推特上关注格雷格@gkeizer,在Google +或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
看到更多信息由Gregg Keizer在Computerworld.com上发布。
了解更多关于windows的信息在计算机世界的Windows主题中心。
这篇文章,“微软在修补26个漏洞时,警告用户有主动攻击”最初发表于《计算机世界》 。