微软发布了2008年9月份的4个安全公告,其中有4个严重事项。它们分别是:
Microsoft 安全公告 MS08-054 - 严重
Windows Media Player 中的漏洞可能允许远程执行代码 (954154)
发布日期: 九月 9, 2008
影响的软件系统:
Windows Media Player 11
--Windows XP Service Pack 2 和 Windows XP Service Pack 3
--Windows XP Professional x64 Edition 和
Windows XP Professional x64 Edition Service Pack 2
--Windows Vista 和 Windows Vista Service Pack 1
--Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1
--Windows Server 2008(用于 32 位系统)*
--Windows Server 2008(用于基于 x64 的系统)*
风险等级:严重
详细信息:
1 Windows Media Player 采样率漏洞
Windows Media Player 11 中存在一个远程执行代码漏洞。攻击者可能通过构建一个特制音
频文件来利用该漏洞;当使用 Windows Media Player 11 从 Windows Media 服务器流式传
输时,该文件可能允许远程执行代码。成功利用此漏洞的攻击者可能完全控制受影响的系统。
解决办法
临时解决办法:
注销 wmpeffects.dll
要注销此 DLL,请从提升的命令提示符处运行下列命令:
对于基于 Windows 的 32 位系统:
Regsvr32.exe –u %WINDIR%\system32\wmpeffects.dll
对于基于 Windows 的 64 位系统:
Regsvr32.exe –u %WINDIR%\syswow64\wmpeffects.dll
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建
议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用
我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-054.mspx
Microsoft 安全公告 MS08-052 - 严重
GDI+ 中的漏洞可能允许远程执行代码 (954593)
发布日期: 九月 9, 2008
影响的操作系统和软件 :
操作系统
-- Windows XP Service Pack 2 和 Windows XP Service Pack 3
-- Windows XP Professional x64 Edition 和
Windows XP Professional x64 Edition Service Pack 2
-- Windows Server 2003 Service Pack 1 和 Windows Server 2003 Service Pack 2
-- Windows Server 2003 x64 Edition 和
Windows Server 2003 x64 Edition Service Pack 2
-- Windows Server 2003 SP1(用于基于 Itanium 的系统)以及
Windows Server 2003 SP2(用于基于 Itanium 的系统)
-- Windows Vista 和 Windows Vista Service Pack 1
-- Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1
-- Windows Server 2008(用于 32 位系统)*
-- Windows Server 2008(用于基于 x64 的系统)*
-- Windows Server 2008(用于基于 Itanium 的系统)
Internet Explorer 6
Microsoft Windows 2000 Service Pack 4
-- Microsoft Internet Explorer 6 Service Pack 1
Microsoft .NET Framework
Microsoft Windows 2000 Service Pack 4
-- Microsoft .NET Framework 1.0 Service Pack 3
-- Microsoft .NET Framework 1.1 Service Pack 1
-- Microsoft .NET Framework 2.0
-- Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Office
-- Microsoft Office XP Service Pack 3
-- Microsoft Office 2003 Service Pack 2
-- 2007 Microsoft Office System
-- Microsoft Visio 2002 Service Pack 2
-- Microsoft Office PowerPoint Viewer 2003
-- Microsoft Works 8
-- Microsoft Digital Image Suite 2006
Microsoft SQL Server
--安装在 Microsoft Windows 2000 Service Pack 4 上的
SQL 2000 Reporting Services Service Pack 2
-- SQL Server 2005 Service Pack 2
-- SQL Server 2005 x64 Edition Service Pack 2
-- SQL Server 2005 Service Pack 2(用于基于 Itanium 的系统)
-- SQL Server 2005 Service Pack 2
-- SQL Server 2005 x64 Edition Service Pack 2
-- SQL Server 2005 Service Pack 2(用于基于 Itanium 的系统)
开发工具
-- Microsoft Visual Studio .NET 2002 Service Pack 1
-- Microsoft Visual Studio .NET 2003 Service Pack 1
-- Microsoft Visual Studio 2005 Service Pack 1
-- Microsoft Visual Studio 2008
--安装在 Microsoft Windows 2000 Service Pack 4 上的
Microsoft Report Viewer 2005 Service Pack 1 Redistributable Package
--安装在 Microsoft Windows 2000 Service Pack 4 上的
Microsoft Report Viewer 2008 Redistributable Package
--安装在 Microsoft Windows 2000 Service Pack 4 上的
Microsoft Visual FoxPro 8.0 Service Pack 1
--安装在 Microsoft Windows 2000 Service Pack 4 上的
Microsoft Visual FoxPro 9.0 Service Pack 1
--安装在 Microsoft Windows 2000 Service Pack 4 上的
Microsoft Visual FoxPro 9.0 Service Pack 2
-- Microsoft Platform SDK Redistributable: GDI+
安全软件
--安装在 Microsoft Windows 2000 Service Pack 4 上的
Microsoft Forefront Client Security 1.0
风险等级:严重
详细信息:
1 GDI+ VML 缓冲区溢出漏洞
GDI+ 处理渐变大小的方式中存在一个远程执行代码漏洞。 如果用户浏览包含特制内容
的网站,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的
系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新
帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的
影响要小。
2 GDI+ EMF 内存损坏漏洞
GDI+ 处理内存分配的方式中存在一个远程执行代码漏洞。 如果用户打开特制的 EMF
图像文件或浏览包含特制内容的网站,则此漏洞可能允许远程执行代码。 成功利用此漏洞
的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;
或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比
具有管理用户权限的用户受到的影响要小。
3 GDI+ GIF 分析漏洞
GDI+ 分析 GIF 图像的方式中存在一个远程执行代码漏洞。 如果用户打开特制的 GIF
图像文件或浏览包含特制内容的网站,则此漏洞可能允许远程执行代码。 成功利用此漏洞
的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;
或者创建新帐户。
4 GDI+ WMF 缓冲区溢出漏洞
GDI+ 为 WMF 图像文件分配内存的方式中存在一个远程执行代码漏洞。 如果用户打开
特制的 WMF 图像文件或浏览包含特制内容的网站,则此漏洞可能允许远程执行代码。 成
功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改
或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户
权限的用户比具有管理用户权限的用户受到的影响要小。
5 GDI+ BMP 整数溢出漏洞 –
GDI+ 处理整数计算的方式中存在一个远程执行代码漏洞。 如果用户打开特制的 BMP
图像文件,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响
的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的
新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到
的影响要小。
解决办法
临时解决办法:
1 限制对 gdiplus.dll 的访问
1). 从提升的管理员命令提示符处运行下列命令:
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P
everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft
office\gdiplus.dll^"') DO cacls
"%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(x86^)%\microsoft
office\gdiplus.dll^"') DO
cacls "%G" /E /P everyone:N
2). 重新启动
2 注销 vgx.dll
1). 依次单击“开始”、“运行”,键入 "%SystemRoot%\System32\regsvr32.exe" -u
"%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll",然后单击“确定”。
2). 此时将出现一个对话框,确认注销过程已成功完成。 单击“确定”关闭对话框。
阻止 COM 对象在 Internet Explorer 中运行
您可以通过在注册表中为控件设置 kill bit 来禁止尝试在 Internet Explorer 中实例化
COM 对象。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{FA91DF8D-53AB-455D-AB20-F2F023E498D3}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX
Compatibility\{FA91DF8D-53AB-455D-AB20-F2F023E498D3}]
"Compatibility Flags"=dword:00000400
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建
议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用
我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-052.mspx
Microsoft 安全公告 MS08-053 - 严重
Windows Media Encoder 9 中的漏洞可能允许远程执行代码 (954156)
发布日期: 九月 9, 2008
影响软件:
Windows Media Encoder 9 Series
--Microsoft Windows 2000 Service Pack 4
--Windows XP Service Pack 2 和 Windows XP Service Pack 3
--Windows XP Professional x64 Edition 和
Windows XP Professional x64 Edition Service Pack 2
--Windows Server 2003 Service Pack 1 和 Windows Server 2003 Service Pack 2
--Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2
--Windows Vista 和 Windows Vista Service Pack 1
--Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1
--Windows Server 2008(用于 32 位系统)*
--Windows Server 2008(用于基于 x64 的系统)*
Windows Media Encoder 9 Series x64 Edition
--Windows XP Professional x64 Edition 和
Windows XP Professional x64 Edition Service Pack 2
--Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2
--Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1
--Windows Server 2008(用于基于 x64 的系统)*
风险等级:重要
详细信息:
1 Windows Media Encoder 缓冲区溢出漏洞
Windows Media Encoder 9 Series 安装的 WMEX.DLL ActiveX 控件中存在一个远程执行
代码漏洞。 如果用户查看特制网页,此漏洞可能允许远程执行代码。 如果用户使用管理用
户权限登录,成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程
序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥
有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
解决办法
临时解决办法:
阻止 WMEX.DLL 在 Internet Explorer 中运行。
Windows 注册表编辑器 5.00 版
对于 32 位系统上运行的 Windows Media Encoder 9 Series 或 64 位系统上运行的
Windows Media Encoder 9 Series x64 Edition:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{A8D3AD02-7508-4004-B2E9-AD33F087F43C}]
"Compatibility Flags"=dword:0x400
对于 64 位系统上运行的 Windows Media Encoder 9 Series:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX
Compatibility\{A8D3AD02-7508-4004-B2E9-AD33F087F43C}]
"Compatibility Flags"=dword:0x400
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建
议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用
我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-053.mspx
Microsoft 安全公告 MS08-055 - 严重
Microsoft Office 中的漏洞可能允许远程执行代码 (955047)
发布日期: 九月 9, 2008
影响的软件
Microsoft Office XP Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
2007 Microsoft Office System
2007 Microsoft Office System Service Pack 1
Microsoft Office OneNote 2007
Microsoft Office OneNote 2007 Service Pack 1
风险等级:严重
详细信息:
1 统一资源定位器验证错误漏洞
Microsoft Office 使用 OneNote 协议处理程序 (onenote://) 处理特制 URL 的方式中存在
一个远程执行代码漏洞。 如果用户点击特制的 OneNote URL,该漏洞可能允许远程执行代
码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、
更改或删除数据;或者创建拥有完全用户权限的新帐户。
解决办法
临时解决办法:
禁用 OneNote 协议处理器程序
交互方法
1单击“开始”,单击“运行”,键入“regedit”(不带双引号),然后单击“确定”。
2展开 HKEY_CLASSES_ROOT,单击“OneNote”,然后单击“文件”菜单并选择“导出”。
3在“导出注册表文件”对话框中,键入“OneNote registry backup.reg”并按“保存”。 默认情况
下,此操作将在“我的文档”文件夹中创建此注册表项的备份。
4展开 OneNote 项,单击右窗格中的“URL Protocol”注册表值,然后按 Delete。 当系统提
示您通过“确认数值删除”对话框删除注册表数值时,请选择“是”。
管理的部署脚本
1 首先,可以使用下列命令从被管理的部署脚本备份注册表项:
Regedit.exe /e OneNote_registry_backup.reg HKEY_CLASSES_ROOT\OneNote
2 接下来,将下列内容保存到扩展名为 .REG 的文件,例如
Delete_OneNote_URL_Protocol.reg:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\OneNote]
"URL Protocol"=-
3 在目标计算机上,使用下列命令运行在步骤 2 中创建的上述注册表脚本:
Regedit.exe /s Delete_OneNote_URL_Protocol.reg
将 OneNote 协议处理程序重定向到 About 协议处理程序
交互方法
1单击“开始”,单击“运行”,键入“regedit”(不带双引号),然后单击“确定”。
2展开 HKEY_CLASSES_ROOT\PROTOCOLS,然后单击“Handler”。
3在“编辑”菜单上,单击“新建”,然后单击“项”。
4在新项对话框中键入“onenote”(不带引号),然后按 Enter。
5展开新的 HKEY_CLASSES_ROOT\PROTOCOLS\Handler\onenote 注册表项,并在“编辑”
菜单上单击“新建”,然后单击“字符串值”。
6在新的字符串值对话框中,键入“CLSID”(不带引号)。
7在注册表编辑器的右窗格中,双击新的“CLSID”注册表值,在“数值数据”对话框中键入下
列内容或将其粘贴到该对话框中: {3050F406-98B5-11CF-BB82-00AA00BDCE0B},然后
按“确定”按钮。
管理的部署脚本
1 将下列内容保存到扩展名为 .REG 的文件,例如 OneNote_Handler.reg:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\PROTOCOLS\Handler\onenote]
"CLSID"="{3050F406-98B5-11CF-BB82-00AA00BDCE0B}"
2在目标计算机上,使用下列命令运行在步骤 1 中创建的上述注册表脚本:
Regedit.exe /s OneNote_Handler.reg
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建
议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用
我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-055.mspx
