微軟發布2012年1月Windows Media補丁
微軟已發布7個安全公告,包括1個“嚴重(危機)”級別的公告,它修補了一個嚴重的Windows Media Player缺陷,該缺陷可被用在危險的路過式(drive-by)web站點攻擊中。
微軟在2012年1月的補丁星期二中共修補了8個漏洞。該更新還解決了已被公共曝光的SSL/TLS實現漏洞。該SSL/TLS協議弱點能讓攻擊者使用SSL3.0和TLS1.0版本協議攔截加密的Web服務器流量。
Windows Media缺陷影響Windows Media Player、Microsoft Windows Media庫以及微軟的 DirectShow組件。微軟在它的MS12-04安全公告中表示,該應用程序接口(API)設計用來在Windows中啟用流媒體。
攻擊者通過誘使人們用Windows Media Player運行一個惡意的MIDI文件來利用該缺陷。微軟表示,該漏洞可能用在路過式攻擊中,或者是通過即時消息或作為郵件附件來發送。任何惡意的媒體文件可能被用來利用該DirectShow錯誤,在DirectShow解析媒體文件的方式中存在的弱點,但是用戶不得不禁用字幕啟用選項。該更新文件適用于所有支持的Windows版本,包括Windows 7。該缺陷對Windows XP、Vista、Windows Server 2003及2008的用戶們來說為“嚴重”級別。
位于加利福尼亞紅木海岸的漏洞管理廠商Qualys公司的CTO Wolfgang Kandek表示,應該給與該Windows Media Player中的MIDI缺陷最高的優先級,因為該缺陷除了作為郵件附件外可被攻擊者用在路過式攻擊中。
“無需用戶打開文件或是安裝解碼器,該MIDI文件即可獨自播放,所以它可能是特別嚴重的漏洞”,Kandek說道。“我認為除了關閉字幕顯示外,在這些媒體播放器中還有很多人們必須弄明白的事情,盡管所有這些功能都非常棒,但是它們也為攻擊者打開了另一扇門”。
SSL/TLS協議的缺陷于去年9月在布宜諾斯艾利斯的Ekoparty安全大會上被曝光,該漏洞能讓攻擊者竊聽加密的會話。微軟MS12-006安全公告標識為“重要”級別,該漏洞存在于協議自身并且不僅限于Windows操作系統。在這個安全大會上,獨立的安全研究員Juliano Rizzo展示了通過利用該SSL錯誤從HTTPS請求中解密,并獲得認證令牌以及cookies文件的方法。該更新文件適用于所有支持的Windows版本。
MS12-005安全公告被評級為“重要”級別,解決了一個Windows錯誤,但是賽門鐵克安全響應團隊的安全智能經理、漏洞專家Joshua Talbot說,該補丁應得到額外的重視,因為它能被輕易地利用。借助包含惡意嵌入ClickOnce應用的微軟Office Word或PowerPoint文檔,這個Windows.NET中的錯誤可被遠程利用。ClickOnce指基于Windows平臺的能自我更新的應用,這些應用可以在最少的用戶交互前提下安裝并且運行。該更新文件影響到所有支持的Windows版本,修補Windows Packager載入ClickOnce應用的方式。
“該漏洞是由于忽視了一旦用戶打開了一個Word或PowerPoint文件后,攻擊者能運行惡意軟件的情況”,Talbot在聲明中說道。“郵件附件可能會是該漏洞被利用的最常見的攻擊手法”。
該漏洞在可用性索引中評為1,意味著攻擊者能快速地開發針對該漏洞的工具。但是位于加利福尼亞帕洛阿爾托市的虛擬化廠商VMware公司的研發部經理Jason Miller說道,攻擊者首先必須學會如何構建ClickOnce應用。
“我看到他們正停留在習慣使用的跨站點腳本以及其它東西上”,Miller說道。“ClickOnce應用正變得更加普遍,特別是隨著作為基于云的服務采用方式增長時,但是眼下我不認為這是一個主要的威脅”。
其它更新都被評級為“重要”級別,包括解決了許多Windows錯誤的MS12-001,解決安全功能逃避(Security Feature Bypass)漏洞的MS12-003,該Windows錯誤能讓攻擊者獲得特權提升,而MS12-002更新影響到帶有嵌入打包對象的合法文件在Windows系統中的運行。
【編輯推薦】
