首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2009-06)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

微軟發布ATL漏洞相關緊急安全公告

發布日期:2009-07-29


綜述:
======
微軟除了在之前發布了7月份的例行安全公告外,在今日又發布了Windows系統ATL相關的周期外緊急安全公告,公告編號為 MS09-034 和 MS09-035 。MS09-034 公告提供了ATL相關漏洞通過IE利用時的防護補丁方案并修補了另外3個IE本身的安全漏洞。MS09-035 公告針對導致ATL相關漏洞的Visual Studio開發工具,提供了Visual Studio工具對應的補丁,進行COM控件開發的開發者需要使用修補后的Visual Studio工具重新編譯自己的COM組件(主要是ActiveX),使得到的最終COM組件不存在ATL相關漏洞。

我們強烈建議使用Windows操作系統的用戶立刻檢查一下您的系統是否受此漏洞影響,安裝微軟提供的安全補丁或按照我們提供的建議進行處理。

分析:
======
Active Template Library (ATL)是一個基于C++的類庫,開發者可以用此程序庫創建小巧、快速的COM組件,通常的通過IE可訪問ActiveX控件就是一類典型的COM組件。ATL庫一般隨同微軟的Visual Studio工具一起發布,開發者在開發COM組件時很可能使用了其中ATL庫。

微軟實現的ATL庫存在一些問題,可能導致采用此ATL庫開發出來的COM組件存在安全漏洞,而這些COM組件可能通過IE被攻擊者遠程直接或間接地調用訪問,從而造成遠程攻擊。為了解決這些問題,微軟分別對最終用戶和開發者發布了MS09-034和MS09-035安全公告,提供對最終用戶的保護并使開發者消除所開發的COM組件中可能存在的安全缺陷。

MS09-035
--------

目前ATL庫已經被發現存在一些安全漏洞,導致使用了ATL庫進行COM組件開發所生成的控件可能存在以下3種漏洞,MS09-035針對這幾個漏洞做了修補:

1. CVE-2009-0901 - ATL未初始化對象漏洞

    - 受影響軟件和系統:

    Visual Studio 2002 SP1    
    Visual Studio 2003 SP1
    Visual Studio 2005 SP1
    Visual Studio 2008 RTM
    
    - 不受影響軟件和系統:
    
    Visual Studio 2008 SP1
    Visual Studio 2010 Beta

    - 漏洞描述:

    ATL庫的特定方法可能在特定情況下操作未初始化的對象,導致執行任意指令。

2. CVE-2009-2493

    - 受影響軟件和系統:

    Visual Studio 2002 SP1    
    Visual Studio 2003 SP1
    Visual Studio 2005 SP1
    Visual Studio 2008 RTM
    Visual Studio 2008 SP1
    
    - 不受影響軟件和系統:
    
    Visual Studio 2010 Beta

    - 漏洞描述:
    
    ATL庫在從數據流中初始化對象時存在漏洞,可能導致繞過Kill Bit安全檢查。

3. CVE-2009-2495

    - 受影響軟件和系統:

    Visual Studio 2002 SP1    
    Visual Studio 2003 SP1
    Visual Studio 2005 SP1
    Visual Studio 2008 RTM
    Visual Studio 2008 SP1
    
    - 不受影響軟件和系統:
    
    Visual Studio 2010 Beta

    - 漏洞描述:
    
    ATL庫引用字符串處理存在漏洞,可能導致內存信息泄露。

微軟已經提供了安全補丁以修復這些安全漏洞,我們建議您使用Windows系統自帶的"Windows update"功能下載最新補丁。

您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
http://www.microsoft.com/technet/security/bulletin/MS09-035.mspx

MS09-035包含的補丁是針對開發者的,開發者在更新Visual Studio工具后需要重新編譯自己開發的ActiveX控件并發布,消除由于開發工具使用了有漏洞的ATL庫而導致的安全風險。

MS09-034
--------

針對可能存在ATL相關漏洞的COM組件導致的對IE用戶的威脅,微軟發布了MS09-034公告,通過修改IE內部處理機制的方法盡量減小由于存在漏洞的COM組件導致的風險。MS09-034還包含了對如下3個非ATL相關的IE漏洞的修補:

1. CVE-2009-1917 - 內存破壞漏洞

    - 受影響軟件和系統:

    Internet Explorer 5.01 和 Internet Explorer 6 Service Pack 1
    Internet Explorer 6
    Internet Explorer 7
    Internet Explorer 8
    
    - 不受影響軟件和系統:
    
    - 漏洞描述:

    惡意腳本構造的代碼導致對象引用刪除以后重引用,可能導致內存破壞或指令執行。

2. CVE-2009-1918 - HTML對象內存破壞漏洞

    - 受影響軟件和系統:

    Internet Explorer 5.01 和 Internet Explorer 6 Service Pack 1  
    Internet Explorer 6
    Internet Explorer 7
    Internet Explorer 8
    
    - 不受影響軟件和系統:
    
    - 漏洞描述:

    惡意腳本代碼構造的特定畸形表格元素操作導致內存破壞或指令執行。

3. CVE-2009-1919 - 未初始化內存破壞漏洞

    - 受影響軟件和系統:

    Internet Explorer 5.01 和 Internet Explorer 6 Service Pack 1  
    Internet Explorer 6
    Internet Explorer 7
    Internet Explorer 8
    
    - 不受影響軟件和系統:
    
    - 漏洞描述:

    惡意腳本代碼構造的CSS對象處理導致引用已刪除的對象,最終導致內存破壞或指令執行。

臨時解決方法:

* 在Internet Explorer中把Internet域的安全級別設置到“高”
  
   1. 在Internet Explorer中,從“工具”菜單選擇“Internet選項”
   2. 在對話框中點擊“安全”標簽,然后點擊“Internet”圖標
   3. 在“該區域安全級別”欄中把滑塊拖到“高”,點擊“確定”

微軟已經提供了安全補丁以修復這些安全漏洞,我們建議您使用Windows系統自帶的"Windows update"功能下載最新補丁。

您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
http://www.microsoft.com/technet/security/bulletin/MS09-034.mspx

附加信息:
==========
1. http://www.microsoft.com/technet/security/bulletin/ms09-034.mspx
2. http://www.microsoft.com/technet/security/bulletin/ms09-035.mspx
3. http://blogs.technet.com/srd/archive/2009/07/28/overview-of-the-out-of-band-release.aspx
4. http://blogs.technet.com/msrc/archive/2009/07/28/microsoft-security-advisory-973882-microsoft-security-bulletins-ms09-034-and-ms09-035-released.aspx

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2019 綠盟科技
重庆时时彩计划准不准 龙江棋牌五常麻将 福州麻將 农村人都在干什么赚钱 单双中特公式规律 2019海南七星彩规律图98 微信彩票兼职一小时30 彩神国际平台官网 老虎机网址大全送彩金 淘宝快3是哪里的 小赢计划 qq捕鱼大亨youxi 排列三投资计划