微软刚刚发布了2008年5月份的4个安全公告,其中有3为严重等级, 1个重要。它们分别是:
Microsoft 安全公告 MS08-026
Microsoft Word 中的漏洞可能允许远程执行代码 (951207)
发布日期: 五月 13, 2008
影响软件:
Microsoft Office 套件和组件
--Microsoft Office 2000 Service Pack 3
--Microsoft Office XP Service Pack 3
--Microsoft Office 2003 Service Pack 2
--Microsoft Office 2003 Service Pack 3
--2007 Microsoft Office System
--2007 Microsoft Office System Service Pack 1
其他 Office 软件
--Microsoft Word Viewer 2003
--Microsoft Word Viewer 2003 Service Pack 3
--用于 Word、Excel 和 PowerPoint 2007 文件格式的 Microsoft Office 兼容包
--用于 Word、Excel 和 PowerPoint 2007 文件格式 Service Pack 1 的
Microsoft Office 兼容包
--Microsoft Office for Mac
--Microsoft Office 2004 for Mac
--Microsoft Office 2008 for Mac
风险等级:严重
详细信息:
1 对象分析漏洞
Microsoft Office 处理特制 RTF 格式 (.rtf) 文件的方式中存在一个远程执行代码漏洞。
如果用户在 Word 中打开具有格式错误的字符串的特制 .rtf 文件,或在格式文本电子邮件
中预览具有格式错误的字符串的特制 .rtf 文件,该漏洞可能允许远程执行代码。 成功利用
此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除
数据;或者创建拥有完全用户权限的新帐户。
2 Word 级联样式表 (CSS) 漏洞
Word 处理特制 Microsoft Word 文件的方式中存在一个远程执行代码漏洞。 如果用户
打开带有格式错误的 CSS 值的特制 Word 文件,该漏洞可能允许远程执行代码。 成功利
用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删
除数据;或者创建拥有完全用户权限的新帐户。
解决办法
临时解决办法:
使用 Microsoft Office 文件阻止策略禁止打开来自未知或不可信来源和位置的 Office 2003
以及较早版本的文档。
下列注册表脚本可以用于设置文件阻止策略。
对于 Office 2003
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\FileOpenBlock]
"RTFFiles"=dword:00000001
对于 Office 2007
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\
FileOpenBlock]
"RTFFiles"=dword:00000001
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-026.mspx
Microsoft 安全公告 MS08-027
Microsoft Publisher 中的漏洞可能允许远程执行代码 (951208)
发布日期: 五月 13, 2008
影响软件 :
Office 套件及其他软件
Microsoft Publisher 2000 Service Pack 3
--Microsoft Office 2000 Service Pack 3
--Microsoft Office XP Service Pack 3
Microsoft Publisher 2003 Service Pack 2
--Microsoft Office 2003 Service Pack 2
Microsoft Publisher 2003 Service Pack 3
--Microsoft Office 2003 Service Pack 3
Microsoft Publisher 2007
--2007 Microsoft Office System
Microsoft Publisher 2007 Service Pack 1
--2007 Microsoft Office System Service Pack 1
风险等级:严重
详细信息:
Publisher 对象处理程序验证漏洞
Microsoft Publisher 验证对象头数据的方式中存在一个远程执行代码漏洞。 攻击者可能
通过发送特制的 Publisher 文件来利用该漏洞,该文件可能作为电子邮件附件提供或者宿主
在特制的或被破坏的网站上。
如果用户使用管理用户权限登录,成功利用此漏洞的攻击者便可完全控制受影响的系
统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐
户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影
响要小。
解决办法
临时解决办法:
不要打开或保存从不受信任来源或从受信任来源意外收到的 Microsoft Office 文件。
当用户打开特制文件时,攻击者可以利用此漏洞。
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-027.mspx
Microsoft 安全公告 MS08-028
Microsoft Jet 数据库引擎中的漏洞可能允许远程执行代码 (950749)
发布日期: 五月 13, 2008
影响软件:
Microsoft Jet 4.0 数据库引擎
--Microsoft Windows 2000 Service Pack 4
--Windows XP Service Pack 2
--Windows XP Professional x64 Edition
--Windows Server 2003 Service Pack 1
--Windows Server 2003 x64 Edition
--Windows Server 2003 SP1(用于基于 Itanium 的系统)
风险等级:严重
详细信息:
Microsoft Jet 引擎 MDB 文件分析堆栈溢出漏洞
Microsoft Jet 数据库引擎 (Jet) 中存在缓冲区溢出漏洞,此漏洞可能允许在受影响的系
统上远程执行代码。 攻击者可以通过以下方式利用此漏洞:创建特制的数据库查询并通过
在受影响的系统上使用 Jet 的应用程序发送它。 成功利用此漏洞的攻击者可以完全控制受
影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权
限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户
受到的影响要小。
解决办法
临时解决办法:
1 限制 Microsoft Jet 数据库引擎对任何应用程序运行
要实施该变通办法,请在命令提示符处输入下列命令:
echo y| cacls "%SystemRoot%\system32\msjet40.dll" /E /P everyone:N
2 使用组策略限制 Microsoft Jet 数据库引擎对任何应用程序运行
要实施变通办法,请执行下列步骤:
1 创建以下脚本, 命名为 JetCacls.cmd:
@echo off
if exist %systemdrive%\Cacls.log goto end
cacls "%SystemRoot%\system32\msjet40.dll" /E /P everyone:N > nul 2>&1
echo %date% %time%: Msjet Cacls updated > %systemdrive%\Cacls.log
:end
exit
2 将 JetCacls.cmd 复制到 Netlogon 共享文件夹,或域控制器上 JetCacls.cmd 将从其中运
行的其他共享文件夹。
3 设置 JetCacls.cmd。在 Active Directory 用户和计算机 MMC 管理单元中,右键单击域
名,然后单击“属性”。
4 单击“组策略”选项卡。
5 单击“新建”创建新的组策略对象 (GPO),然后输入 JetCacls 作为策略名称。
6 单击新策略,然后单击“编辑”。
7 展开“计算机配置的 Windows 设置”,然后单击“脚本”。
8 双击“登录”,然后单击“添加”。 此时出现“添加脚本”对话框。
9 在“脚本名称”框中键入 \\servername\sharename\JetCacls.cmd。
10 单击“确定”,然后单击“应用”。
11 然后重新启动作为此域的成员的客户端计算机。
3 阻止通过邮件基础结构处理 MDB 文件
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-028.mspx
Microsoft 安全公告 MS08-029
Microsoft 恶意软件保护引擎中的漏洞可能允许拒绝服务(952044)
发布日期: 五月 13, 2008
影响的软件
Windows Live OneCare
Microsoft Antigen for Exchange
Microsoft Antigen for SMTP Gateway
Microsoft Windows Defender
Microsoft Forefront Client Security
Microsoft Forefront Security for Exchange Server
Microsoft Forefront Security for SharePoint
位于诊断与恢复工具集 6.0 中的独立系统清理程序
风险等级:中等
详细信息:
Microsoft 恶意软件保护引擎漏洞
Microsoft 恶意软件保护引擎处理特制文件的方式中存在拒绝服务漏洞。 攻击者可以通
过建立特制文件来利用此漏洞,当目标计算机系统接收或 Microsoft 恶意软件保护引擎扫描
到此漏洞时,可能允许拒绝服务。 成功利用此漏洞的攻击者可能导致 Microsoft 恶意软件
保护引擎停止响应和自动重新启动。以及可能造成磁盘空间耗尽,导致拒绝服务的情况和自
动重新启动。
解决办法
临时解决办法:
在同一系统上,Microsoft Forefront Security for Exchange Server、Microsoft Forefront
Security for SharePoint 和 Microsoft Antigen 除了支持 Microsoft 恶意软件保护引擎外还支持多种引擎。 如果受影响系统上有多个引擎可用,管理员可以禁用恶意软件保护引擎作为变通,直到可以更新 Microsoft 恶意软件保护引擎。 禁用 Microsoft 恶意软件保护引擎之前,管理员应确保已为任何第三方防病毒引擎安装最新的病毒签名。
并未发现 Windows Live OneCare、Microsoft Windows Defender 和 Microsoft Forefront
Client Security 的任何变通办法。
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-029.mspx
请校园网用户通过sus.dhu.edu.cn进行补丁更新。
