安全专家说,微软今天修补了11个漏洞,其中包括一个在办公室中,黑客将迅速利用发动驱动攻击。
不出所料,微软没有为犯罪分子目前正在劫持Windows PC的Internet Explorer(IE)中的缺陷修复。
在三个单独更新中解决的11个缺陷中,只有一个被固定为“关键”,这是微软在其四步评分系统中的最高排名。其余10个都标记为“重要”,这是第二高的评分。
NCIRCLE Security的安全运营总监Andrew Storms说:“本月给我Heebie-Jeebies的人是办公室的更新。”“可以通过在Outlook中查看消息来触发RTF漏洞,因此您要做的就是接收[恶意]消息。然后游戏结束了。”
风暴指的是MS10-087,Office XP的五幅更新,2003年,2007年和2010年在Windows上以及Mac 2004、2008和2011的Office。
本月唯一关键的错误是在Outlook中使用RTF(丰富的文本格式)解析器,该电子邮件客户端包装了Office。Microsoft的咨询公司说:“当在Outlook中预览或打开专门制作的RTF电子邮件时,可以利用漏洞。”
“这是一个经典的开车,” Qualys脆弱性研究实验室经理Amol Sarwate回应。
Microsoft的两个最新套房的Office 2007和Office 2010都可以使用针对Outlook发起的驱动攻击来利用。今天的补丁是Office 2010的第一个关键更新,该更新仅在6月推出。
包括微软自己的安全团队在内的其他研究人员说,RTF缺陷是本月最严重的错误,并敦促用户对Pronto进行修补。
Shavlik Technologies的数据和安全团队经理Jason Miller说:“这是不需要用户互动的。”“ RTF是一种常见的文档格式,例如PDF,不会被防火墙或电子邮件网关阻止。一旦[畸形]消息击中Outlook Preview Pane,就可以执行远程代码。您应该立即修补此问题。”
米勒说,由于RTF漏洞不需要用户除了预览消息以外的任何事情,因此攻击者可能几乎立即利用它。
微软8月,MS10-056在RTF文档解析中修补了类似的漏洞。在该公告中,该公司将两个与RTF相关的错误之一标记为2007年的Office。
MS10-087更新还包括Microsoft关于研究人员去年夏天披露的“ DLL负载劫持”或“二进制种植”脆弱性课程的第一个修复程序。Office 2007和Office 2010都经过修补,以保护用户免受DLL负载劫持攻击的侵害。
8月中旬,著名的脆弱性研究员HD Moore宣布他将发现了几十个Windows应用程序没有调用代码库 - 使用完整路径名称称为“动态链接库”或“ DLL”,而是仅使用了文件名,如果他们能够欺骗应用程序,就可以给黑客一个攻击窗口加载与所需DLL相同名称的恶意文件。
其他研究人员将一些Microsoft软件(包括Office 2007)命名为包括Rogue DLL可以利用的软件。
自八月以来,微软一再拒绝确认其哪些产品容易受到DLL负载劫持攻击的影响,或者何时开始修补它们。
暴风雨说:“尽管所有关于DLL负载劫持的Hoopla,但这是安静地修补的。”
在MS10-088,微软还修补了Office XP和Office 2003中包含的PowerPoint版本中的一对漏洞。
三个公告中的最后一个MS10-089,修复了最前沿统一访问网关(UAG)的四个缺陷,这是Microsoft在2006年购买以色列公司鲸鱼通信时收购的虚拟私人网络(VPN)技术。Microsoft说,黑客可以使用其中三个错误来发射跨场脚本攻击。
Miller指出,Microsoft并未通过其Windows Update,Microsoft Update或Windows Server Update Services(WSUS)的正常发行渠道(WISTE)传递UAG补丁,而是告诉客户,他们需要手动从公司的网站中下载更新。
显然,微软没有时间彻底测试UAG漏洞的补丁输送过程。微软在MS10-089公告中承认:“完成测试后,还将通过我们的其他标准分配方法提供这些更新,以确保通过这些渠道成功分发。”
米勒说:“管理员需要关注这一问题。”微软已经脱离了其通常的推动补丁的练习。他补充说:“这是非常不寻常的。”
尽管专家表示,他们没有预计微软今天的最新脆弱性,但他们同意该公司的手可能会在12月14日之前强迫,这是下一个定期安排的补丁。
米勒说:“在那之前是否对其进行修补将取决于弹出多少次攻击。”
Sarwate回应说:“他们会等待,看看是否出现了大量的漏洞。”“我认为他们已经准备好修复了,因此,如果他们看到(攻击数量)的一些动作,他们可能会发布带外的更新。”
尽管安全公司到目前为止仅看到了一些攻击利用IE漏洞的攻击,但一些研究人员报告说,该漏洞已添加到流行的犯罪软件工具包中,此举可能会增加攻击的数量和压力微软进入紧急更新。
Gregg Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和通用技术的计算机世界新闻。在Twitter上关注Gregg@gkeizer或订阅Gregg的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
阅读有关安全性的更多信息在计算机世界的安全主题中心。
这个故事“ Microsoft Patches Critical Outlook驱动器”最初由计算机世界 。