微软已发布7个安全公告,包括1个“严重(危机)”级别的公告,它修补了一个严重的Windows Media Player缺陷,该缺陷可被用在危险的路过式(drive-by)web站点攻击中。
微软在2012年1月的补丁星期二中共修补了8个漏洞。该更新还解决了已被公共曝光的SSL/TLS实现漏洞。该SSL/TLS协议弱点能让攻击者使用SSL3.0和TLS1.0版本协议拦截加密的Web服务器流量。
Windows Media缺陷影响Windows Media Player、Microsoft Windows Media库以及微软的 DirectShow组件。微软在它的MS12-04安全公告中表示,该应用程序接口(API)设计用来在Windows中启用流媒体。
攻击者通过诱使人们用Windows Media Player运行一个恶意的MIDI文件来利用该缺陷。微软表示,该漏洞可能用在路过式攻击中,或者是通过即时消息或作为邮件附件来发送。任何恶意的媒体文件可能被用来利用该DirectShow错误,在DirectShow解析媒体文件的方式中存在的弱点,但是用户不得不禁用字幕启用选项。该更新文件适用于所有支持的Windows版本,包括Windows 7。该缺陷对Windows XP、Vista、Windows Server 2003及2008的用户们来说为“严重”级别。
位于加利福尼亚红木海岸的漏洞管理厂商Qualys公司的CTO Wolfgang Kandek表示,应该给与该Windows Media Player中的MIDI缺陷最高的优先级,因为该缺陷除了作为邮件附件外可被攻击者用在路过式攻击中。
“无需用户打开文件或是安装解码器,该MIDI文件即可独自播放,所以它可能是特别严重的漏洞”,Kandek说道。“我认为除了关闭字幕显示外,在这些媒体播放器中还有很多人们必须弄明白的事情,尽管所有这些功能都非常棒,但是它们也为攻击者打开了另一扇门”。
SSL/TLS协议的缺陷于去年9月在布宜诺斯艾利斯的Ekoparty安全大会上被曝光,该漏洞能让攻击者窃听加密的会话。微软MS12-006安全公告标识为“重要”级别,该漏洞存在于协议自身并且不仅限于Windows操作系统。在这个安全大会上,独立的安全研究员Juliano Rizzo展示了通过利用该SSL错误从HTTPS请求中解密,并获得认证令牌以及cookies文件的方法。该更新文件适用于所有支持的Windows版本。
MS12-005安全公告被评级为“重要”级别,解决了一个Windows错误,但是赛门铁克安全响应团队的安全智能经理、漏洞专家Joshua Talbot说,该补丁应得到额外的重视,因为它能被轻易地利用。借助包含恶意嵌入ClickOnce应用的微软Office Word或PowerPoint文档,这个Windows.NET中的错误可被远程利用。ClickOnce指基于Windows平台的能自我更新的应用,这些应用可以在最少的用户交互前提下安装并且运行。该更新文件影响到所有支持的Windows版本,修补Windows Packager载入ClickOnce应用的方式。
“该漏洞是由于忽视了一旦用户打开了一个Word或PowerPoint文件后,攻击者能运行恶意软件的情况”,Talbot在声明中说道。“邮件附件可能会是该漏洞被利用的最常见的攻击手法”。
该漏洞在可用性索引中评为1,意味着攻击者能快速地开发针对该漏洞的工具。但是位于加利福尼亚帕洛阿尔托市的虚拟化厂商VMware公司的研发部经理Jason Miller说道,攻击者首先必须学会如何构建ClickOnce应用。
“我看到他们正停留在习惯使用的跨站点脚本以及其它东西上”,Miller说道。“ClickOnce应用正变得更加普遍,特别是随着作为基于云的服务采用方式增长时,但是眼下我不认为这是一个主要的威胁”。
其它更新都被评级为“重要”级别,包括解决了许多Windows错误的MS12-001,解决安全功能逃避(Security Feature Bypass)漏洞的MS12-003,该Windows错误能让攻击者获得特权提升,而MS12-002更新影响到带有嵌入打包对象的合法文件在Windows系统中的运行。
【编辑推荐】
