微软已发布7个安全公告,包括1个“严重(危机)”级别的公告,它修补了一个严重的Windows Media Player缺陷,该缺陷可被用在危险的路过式(drive-by)web站点攻击中。
微软在2012年1月的补丁星期二中共修补了8个漏洞。该更新还解决了已被公共曝光的SSL/TLS实现漏洞。该SSL/TLS协议弱点能让攻击者使用SSL3.0和TLS1.0版本协议拦截加密的Web服务器流量。
Windows Media缺陷影响Windows Media Player、Microsoft Windows Media库以及微软的 DirectShow组件。微软在它的MS12-04安全公告中表示,该应用程序接口(API)设计用来在Windows中启用流媒体。
攻击者通过诱使人们用Windows Media Player运行一个恶意的MIDI文件来利用该缺陷。微软表示,该漏洞可能用在路过式攻击中,或者是通过即时消息或作为邮件附件来发送。任何恶意的媒体文件可能被用来利用该DirectShow错误,在DirectShow解析媒体文件的方式中存在的弱点,但是用户不得不禁用字幕启用选项。该更新文件适用于所有支持的Windows版本,包括Windows 7。该缺陷对Windows XP、Vista、Windows Server 2003及2008的用户们来说为“严重”级别。
位于加利福尼亚红木海岸的漏洞管理厂商Qualys公司的CTO Wolfgang Kandek表示,应该给与该Windows Media Player中的MIDI缺陷最高的优先级,因为该缺陷除了作为邮件附件外可被攻击者用在路过式攻击中。
“无需用户打开文件或是安装解码器,该MIDI文件即可独自播放,所以它可能是特别严重的漏洞”,Kandek说道。“我认为除了关闭字幕显示外,在这些媒体播放器中还有很多人们必须弄明白的事情,尽管所有这些功能都非常棒,但是它们也为攻击者打开了另一扇门”。
SSL/TLS协议的缺陷于去年9月在布宜诺斯艾利斯的Ekoparty安全大会上被曝光,该漏洞能让攻击者窃听加密的会话。微软MS12-006安全公告标识为“重要”级别,该漏洞存在于协议自身并且不仅限于Windows操作系统。在这个安全大会上,独立的安全研究员Juliano Rizzo展示了通过利用该SSL错误从HTTPS请求中解密,并获得认证令牌以及cookies文件的方法。该更新文件适用于所有支持的Windows版本。
MS12-005安全公告被评级为“重要”级别,解决了一个Windows错误,但是赛门铁克安全响应团队的安全智能经理、漏洞专家Joshua Talbot说,该补丁应得到额外的重视,因为它能被轻易地利用。借助包含恶意嵌入ClickOnce应用的微软Office Word或PowerPoint文档,这个Windows.NET中的错误可被远程利用。ClickOnce指基于Windows平台的能自我更新的应用,这些应用可以在最少的用户交互前提下安装并且运行。该更新文件影响到所有支持的Windows版本,修补Windows Packager载入ClickOnce应用的方式。
“该漏洞是由于忽视了一旦用户打开了一个Word或PowerPoint文件后,攻击者能运行恶意软件的情况”,Talbot在声明中说道。“邮件附件可能会是该漏洞被利用的最常见的攻击手法”。
该漏洞在可用性索引中评为1,意味着攻击者能快速地开发针对该漏洞的工具。但是位于加利福尼亚帕洛阿尔托市的虚拟化厂商VMware公司的研发部经理Jason Miller说道,攻击者首先必须学会如何构建ClickOnce应用。
“我看到他们正停留在习惯使用的跨站点脚本以及其它东西上”,Miller说道。“ClickOnce应用正变得更加普遍,特别是随着作为基于云的服务采用方式增长时,但是眼下我不认为这是一个主要的威胁”。
其它更新都被评级为“重要”级别,包括解决了许多Windows错误的MS12-001,解决安全功能逃避(Security Feature Bypass)漏洞的MS12-003,该Windows错误能让攻击者获得特权提升,而MS12-002更新影响到带有嵌入打包对象的合法文件在Windows系统中的运行。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
微软二月预计发布9个补丁
微软将于当地时间2月14日发布本月的月度安全补丁升级,算是一份特殊的情人节礼物了。此次安排的安全补丁有九个,其中四个属于最高的关键级。
-
微软发布2012年安全更新 迈克菲建议用户尽快安装补丁程序
微软发布了2012年的首批安全补丁,共7个,主要修复了Windows系统、微软开发者工具和软件中的8个漏洞。迈克菲建议用户尽快安装补丁程序。
-
微软12月补丁星期二发布13个安全公告 修复Duqu
伴随着一声巨响,微软即将离开2011年。在12月补丁星期二中,它不仅发布了13个安全公告,还提供了期盼已久的Duqu补丁。
-
微软计划发布14个安全公告 Duqu修复迹象依然难觅
微软表示,作为12月的补丁星期二,它计划发布14个安全公告,解决20个漏洞,其中三个为“严重(危急)”级别。微软没有宣布是否会修复被Duqu木马利用的零日漏洞。