微软刚刚发布了2008年2月份的7个安全公告,其中有6为严重等级,5个为重要等级,它们分别是:
Microsoft 安全公告 MS08-007
WebDAV Mini-Redirector 中的漏洞可能允许远程执行代码 (946026)
发布日期: 2008-2-12
影响系统:
Windows XP Service Pack 2
Windows XP Professional x64 Edition 和
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 和
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition 和
Windows 2003 Server x64 Edition Service Pack 2
Windows Server 2003 SP1(用于基于 Itanium 的系统)以及
Windows Server 2003 SP2(用于基于 Itanium 的系统)
Windows Vista
Windows Vista x64 Edition
CVE编号:
CVE-2008-0080
风险等级:严重
详细信息:
Mini-Redirector 堆溢出漏洞
WebDAV Mini-Redirector 处理响应的方式中存在一个远程执行代码漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建新帐户。
解决办法
临时解决办法:
禁用 Web 客户端服务
要禁用 Web 客户端服务,请按照以下步骤操作:
1 单击“开始”,单击“运行”,键入“Services.msc”,然后单击“确定”。
2右键单击“WebClient 服务”,然后选择“属性”。
3将启动类型更改为“已禁用”。 如果服务正在运行,请单击“停止”。
4单击“确定”,退出管理应用程序。
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-007.mspx
微软安全公告MS08-008
OLE 自动化中的漏洞可能允许远程执行代码 (947890)
发布日期: 2008-2-12
影响系统和软件:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Professional x64 Edition 和
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 和
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition 和
Windows 2003 Server x64 Edition Service Pack 2
Windows Server 2003 SP1(用于基于 Itanium 的系统)以及
Windows Server 2003 SP2(用于基于 Itanium 的系统)
Windows Vista
Windows Vista x64 Edition
Microsoft Office 2004 for Mac
Microsoft Visual Basic 6.0 Service Pack 6
CVE编号:
CVE-2007-0065
风险等级:严重
详细信息:
OLE 堆溢出漏洞
对象链接与嵌入 (OLE) 自动化中存在远程执行代码漏洞,该漏洞允许成功利用此漏洞的攻击者使用已登录用户的权限更改系统。 如果用户使用管理用户权限登录,攻击者便可完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
解决办法
临时解决办法:
1 禁止尝试在 Internet Explorer 中实例化 Microsoft Forms 2.0 ImageActiveX 控件
要为 Microsoft Forms 2.0 Image ActiveX 控件设置 kill bit,请将以下文本粘贴到
记事本等文本编辑器中。 然后,使用 .reg 文件扩展名保存文件。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveX
Compatibility\{4C599241-6926-101B-9992-00000B65C6F9}]
"Compatibility Flags"=dword:00000400
2 将 Internet Explorer 配置为在 Internet 和本地 Intranet 安全区域中运行活动脚本或
禁用活动脚本之前进行提示
1 在 Internet Explorer 中,单击“工具”菜单上的“Internet 选项”。
2 单击“安全”选项卡。
3 单击“Internet”,然后单击“自定义级别”。
4 在“设置”下方,在“脚本”部分的“活动脚本”下方单击“提示”或“禁用”,
然后单击“确定”。
5 单击“本地 Intranet”,然后单击“自定义级别”。
6 在“设置”下方,在“脚本”部分的“活动脚本”下方单击“提示”或“禁用”,
然后单击“确定”。
7 单击“确定”两次返回到 Internet Explorer。
3 将 Internet 和本地 Intranet 安全区域设置设为“高”,以便在这些区域中运行
ActiveX 控件和活动脚本之前进行提示
1 在“工具”菜单上,单击“Internet 选项”。
2 在“Internet 选项”对话框中,单击“安全”选项卡,然后单击“Internet”图标。
3 在“该区域的安全级别”下,将滑块移至“高”。 这将您访问的所有网站的安全级别
均设置为“高”。
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-008.mspx
微软安全公告MS08-009
Microsoft Word 中的漏洞可能允许远程执行代码 (947077)
发布日期: 2008-2-12
影响的软件:
Microsoft Office 2000 Service Pack 3
-- Microsoft Word 2000 Service Pack 3
Microsoft Office XP Service Pack 3
-- Microsoft Word 2002 Service Pack 3
Microsoft Office 2003 Service Pack 2
-- Microsoft Word 2003 Service Pack 2
Microsoft Office Word Viewer 2003
CVE编号:
CVE-2008-0109
风险等级:严重
详细信息:
Word 内存损坏漏洞
Word 处理特制 Word 文件的方式中存在一个远程执行代码漏洞。 如果用户打开带有格式错误的值的特制 Word 文件,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
解决办法
临时解决办法:
1当打开来自未知来源或不可信来源的文件时使用 Microsoft Office Isolated Conversion
Environment (MOICE)
2使用 Microsoft Office 文件阻止策略禁止打开来自未知或不可信来源和位置的
Office 2003 以及较早版本的文档。
对于 Office 2003
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\FileOpenBlock]
"BinaryFiles"=dword:00000001
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-009.mspx
微软安全公告MS08-010
Internet Explorer 的累积性安全更新 (944533)
发布日期: 2008-2-12
影响的软件:
Internet Explorer 5.01 和 Internet Explorer 6 Service Pack 1
Microsoft Windows 2000 Service Pack 4
-- Microsoft Internet Explorer 5.01 Service Pack 4
-- Microsoft Internet Explorer 6 Service Pack 1
Internet Explorer 6
-- Windows XP Service Pack 2
-- Windows XP Professional x64 Edition 和
Windows XP Professional x64 Edition Service Pack 2
-- Windows Server 2003 Service Pack 1 和 Windows Server 2003 Service Pack 2
-- Windows Server 2003 x64 Edition 和
Windows Server 2003 x64 Edition Service Pack 2
-- Windows Server 2003 SP1(用于基于 Itanium 的系统)以及
Windows Server 2003 SP2(用于基于 Itanium 的系统)
Internet Explorer 7
-- Windows XP Service Pack 2
-- Windows XP Professional x64 Edition 和
Windows XP Professional x64 Edition Service Pack 2
-- Windows Server 2003 Service Pack 1 和
Windows Server 2003 Service Pack 2
-- Windows Server 2003 Service Pack 1 和
Windows Server 2003 Service Pack 2
-- Windows Server 2003 SP1(用于基于 Itanium 的系统)以及
Windows Server 2003 SP2(用于基于 Itanium 的系统)
-- Windows Vista
-- Windows Vista x64 Edition
CVE编号:
CVE-2008-0076
CVE-2008-0077
CVE-2008-0078
CVE-2007-4790
风险等级:严重
详细信息:
1 HTML 呈现内存损坏漏洞
Internet Explorer 解释带有特定布局组合的 HTML 的方式中存在一个远程执行代码漏洞。 攻击者可以通过构建特制的网页来利用该漏洞。 当用户查看网页时,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。
2 属性内存损坏漏洞
Internet Explorer 处理属性方法的方式中存在一个远程执行代码漏洞。 攻击者可以通过构建特制的网页来利用该漏洞。 当用户查看网页时,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。
3 参数处理内存损坏漏洞
Internet Explorer 在图像处理过程中处理参数验证的方式中存在一个远程执行代码漏洞。 攻击者可以通过构建特制的网页来利用该漏洞。 当用户查看网页时,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。
4 ActiveX 对象内存损坏漏洞
Microsoft Fox Pro 的某个组件中存在一个远程执行代码漏洞。 攻击者可以通过构建特制的网页来利用该漏洞。 当用户查看网页时,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。
解决办法
临时解决办法:
1 将 Internet Explorer 配置为在 Internet 和本地 Intranet 安全区域中运行活动脚本
或禁用活动脚本之前进行提示
通过更改设置,以在 Internet 和本地 Intranet 安全区域中运行活动脚本或禁用活动脚本
之前进行提示,可帮助防止此漏洞。 为此,可执行以下步骤:
1 在 Internet Explorer 中,单击“工具”菜单上的“Internet 选项”。
2 单击“安全”选项卡。
3 单击“Internet”,然后单击“自定义级别”。
4 在“设置”下方,在“脚本”部分的“活动脚本”下方单击“提示”或“禁用”,
然后单击“确定”。
5 单击“本地 Intranet”,然后单击“自定义级别”。
6 在“设置”下方,在“脚本”部分的“活动脚本”下方单击“提示”或“禁用”,
然后单击“确定”。
7 单击“确定”两次返回到 Internet Explorer。
2 将 Internet 和本地 Intranet 安全区域设置设为“高”,以便在这些区域中运行
ActiveX 控件和活动脚本之前进行提示
1 在 Internet Explorer 的“工具”菜单上,单击“Internet 选项”。
2 在“Internet 选项”对话框中,单击“安全”选项卡,然后单击“Internet”图标。
3 在“该区域的安全级别”下,将滑块移至“高”。 这将您访问的所有网站的安全级别
均设置为“高”。
3 阻止 COM 对象在 Internet Explorer 中运行
您可以通过在注册表中为控件设置 kill bit 来禁止尝试在 Internet Explorer 中
实例化 COM 对象。
要为值为 {1e54333b-2a00-11d1-8198-0000f87557db} 的 CLSID 设置 kill bit,请将
以下文本粘贴于记事本等文本编辑器中。 然后,使用 .reg 文件扩展名保存文件。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveX
Compatibility\{1e54333b-2a00-11d1-8198-0000f87557db}]
"Compatibility Flags"=dword:00000400
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-010.mspx
微软安全公告MS08-012
Microsoft Office Publisher 中的漏洞可能允许远程执行代码 (947085)
发布日期: 2008-2-12
影响系统和软件:
Microsoft Office 2000 Service Pack 3
--Microsoft Office Publisher 2000
Microsoft Office XP Service Pack 3
--Microsoft Office Publisher 2002
Microsoft Office 2003 Service Pack 2
--Microsoft Office Publisher 2003 Service Pack 2
CVE编号:
CVE-2008-0102
CVE-2008-0104
风险等级:严重
详细信息:
1 Publisher 无效的内存引用漏洞
Microsoft Office Publisher 在将 Publisher 文件加载到内存时验证应用程序数据的方式中存在一个远程执行代码漏洞。 攻击者可以通过构建特制的 Publisher (.pub) 文件来利用该漏洞。 当用户查 .pub 文件时,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全
用户权限的新帐户。
2 Publisher 内存损坏漏洞
Microsoft Office Publisher 验证内存索引值的方式中存在一个远程执行代码漏洞。 攻击者可以通过构建特制的 Publisher (.pub) 文件来利用该漏洞。 当用户查看 .pub 文件时,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
解决办法
临时解决办法:
不要打开或保存从不受信任来源或从受信任来源意外收到的 Microsoft Office 文件。
当用户打开特制文件时,攻击者可以利用此漏洞。
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-012.mspx
微软安全公告MS08-013
Microsoft Office 中的漏洞可能允许远程执行代码 (947108)
发布日期: 2008-2-12
影响的软件:
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
Microsoft Office 2004 for Mac
CVE编号:
CVE-2008-0103
风险等级:严重
详细信息:
Microsoft Office 执行跳转漏洞 - CVE-2008-0103
如果用户打开特制的 Microsoft Office 文档,而文档中插入了格式错误的对象,则该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
解决办法
临时解决办法:
限制对 VBE6.dll 的访问
要限制对 VBE6.dll 的访问,请在命令提示符处键入下列内容:
对于 Windows XP:
Echo y|cacls "%ProgramFiles%\common files\microsoft shared\vba\vba6\vbe6.dll"
/E /P everyone:N
对于 Windows Vista:
Takeown.exe /f "%ProgramFiles%\common files\microsoft shared\vba\vba6\vbe6.dll"
Icacls.exe "%ProgramFiles%\common files\microsoft shared\vba\vba6\vbe6.dll" /save %
TEMP%\VBE6_ACL.TXT
Icacls.exe "%ProgramFiles%\common files\microsoft shared\vba\vba6\vbe6.dll" /deny
everyone:(F)
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-013.mspx
微软安全公告MS08-003
Active Directory 中的漏洞可能允许拒绝服务 (946538)
发布日期: 2008-2-12
影响的软件:
Microsoft Windows 2000 Server Service Pack 4
-- Active Directory
Windows XP Professional Service Pack 2
-- ADAM
Windows XP Professional x64 Edition 和
Windows XP Professional Edition Service Pack 2
-- ADAM
Windows Server 2003 Service Pack 1 和
Windows Server 2003 Service Pack 2
-- Active Directory
Windows Server 2003 Service Pack 1 和
Windows Server 2003 Service Pack 2
-- ADAM
Windows Server 2003 x64 Edition 和
Windows Server 2003 x64 Edition Service Pack 2
-- Active Directory
Windows Server 2003 x64 Edition 和
Windows Server 2003 x64 Edition Service Pack 2
-- ADAM
Windows Server 2003 SP1(用于基于 Itanium 的系统)以及
Windows Server 2003 SP2(用于基于 Itanium 的系统)
-- Active Directory
CVE编号:
CVE-2008-0088
风险等级:重要
详细信息:
Active Directory 漏洞
Microsoft Windows 2000 和 Windows Server 2003 上的 Active Directory 实施中存在一个拒绝服务漏洞。安装在 Windows XP 和 Windows Server 2003 上的 Active Directory 应用程序模式 (ADAM) 的实施中也存在该漏洞。该漏洞是由于不正确地验证特制 LDAP 请求引起的。
利用此漏洞的攻击者可能会导致计算机停止响应和自动重新启动。
解决办法
临时解决办法:
1在外围防火墙处阻止 TCP 端口 389 和 3268
2为帮助防止攻击者试图基于网络利用此漏洞,请通过在受影响的系统上使用 IPSec
来阻止受影响的端口。
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-003.mspx
微软安全公告MS08-004
Windows TCP/IP 中的漏洞可能允许拒绝服务 (946456)
发布日期: 2008-2-12
影响系统和软件:
Windows Vista
Windows Vista x64 Edition
CVE编号:
CVE-2007-0065
风险等级:重要
详细信息:
Windows Vista TCP/IP 漏洞 - CVE-2008-0084
Windows Vista 中的 TCP/IP 处理中存在一个拒绝服务漏洞。 攻击者可能通过创建特制的 DHCP 服务器(向主机返回特制的数据包)、损坏 TCP/IP 结构并导致受影响的系统停止响应并自动重新启动来利用该漏洞。
解决办法
临时解决办法:
向客户端计算机分配静态 IP 地址,而不是允许客户端计算机自动请求 IP 地址。
请执行下列步骤:
1 在客户端计算机上,单击“控制面板”,然后单击“网络和共享中心”。
2 右键单击“本地连接”,然后单击“查看状态”。
3 单击“属性”。
4 单击“Internet 协议版本 4 (ICP/IPv4)”,然后单击“属性”。
5 选择“使用下面的 IP 地址”,并在“IP 地址”、“子网掩码”、“默认网关”
和“首选 DNS 服务器”中输入值。
6 单击“确定”。
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-004.mspx
微软安全公告MS08-005
Internet Information Services 中的漏洞可能允许特权提升 (942831)
发布日期: 2008-2-12
影响系统和软件:
Microsoft Internet Information Services 5.0
-- Microsoft Windows 2000 Service Pack 4
Microsoft Internet Information Services 5.1
-- Windows XP Professional Service Pack 2
Microsoft Internet Information Services 6.0
-- Windows XP Professional x64 Edition 和
Windows XP Professional x64 Edition Service Pack 2
-- Windows Server 2003 Service Pack 1 和
Windows Server 2003 Service Pack 2
-- Windows Server 2003 x64 Edition 和
Windows Server 2003 x64 Edition Service Pack 2
-- Windows Server 2003 SP1(用于基于 Itanium 的系统)以及
Windows Server 2003 SP2(用于基于 Itanium 的系统)
Microsoft Internet Information Services 7.0
-- Windows Vista
-- Windows Vista x64 Edition
CVE编号:
CVE-2008-0074
风险等级:重要
详细信息:
文件更改通知漏洞
Internet Information Services 处理 FTPRoot、NNTPFile\Root 和 WWWRoot 文件夹中的文件更改通知的方式中存在一个本地特权提升漏洞。 成功利用此漏洞的攻击者可以在本地系统的上下文中运行任意代码。 攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。
解决办法
临时解决办法:
1 在 Windows Server 2003 上,停止 FTP 和 NNTP 服务
通过命令提示符运行以下命令:
net stop msftpsvc
net stop nntpsvc
2 拒绝任何用于执行用户控制 ASP 页的帐户对 NNTP 根、FTP 根和 WWW 根文件夹的写入权
限。通过命令提示符运行以下命令:
cacls c:\inetpub\ftproot /E /P IUSR_WS2003ENTSP1:R
cacls c:\inetpub\ftproot /E /P USERS:R
cacls c:\inetpub\nntpfile\root /E /P "ANONYMOUS LOGON":R
cacls c:\inetpub\nntpfile\root /E /P EVERYONE:R
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-005.mspx
微软安全公告MS08-006
Internet Information Services 中的漏洞可能允许远程执行代码 (942830)
发布日期: 2008-2-12
影响系统和软件:
Microsoft Internet Information Services 5.1
-- Windows XP Professional Service Pack 2
Microsoft Internet Information Services 6.0
-- Windows XP Professional x64 Edition 和
Windows XP Professional x64 Edition Service Pack 2
-- Windows Server 2003 Service Pack 1 和
Windows Server 2003 Service Pack 2
-- Windows Server 2003 x64 Edition 和
Windows Server 2003 x64 Edition Service Pack 2
-- Windows Server 2003 SP1(用于基于 Itanium 的系统)以及
Windows Server 2003 SP2(用于基于 Itanium 的系统)
CVE编号:
CVE-2008-0075
风险等级:重要
详细信息:
ASP 漏洞 - CVE-2008-0075
Internet Information Services 处理 ASP 网页输入的方式中存在一个远程执行代码漏洞。
攻击者可以通过将恶意输入传递到网站的 ASP 页来利用此漏洞。 成功利用此漏洞的攻击者然后能够使用与工作进程标识 (WPI) 同样的权限在 IIS 服务器上执行任何操作。默认情况下,WPI 使用网络服务帐户权限进行配置。
解决办法
临时解决办法:
在 Windows Server 2003 上,禁用经典 ASP
要禁用经典 ASP,请执行下列步骤:
1. 单击“开始”,单击“管理工具”,然后单击“Internet 信息服务 ( IIS ) 管理器”。
2. 单击服务器名称旁边的加号 (+),然后单击“Web 服务扩展”文件夹。
3. 单击以突出显示右窗格中的“Active Server Pages ”,然后单击“禁止”。
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-006.mspx
微软安全公告MS08-011
Microsoft Works 文件转换器中的漏洞可能允许远程执行代码 (947081)
发布日期: 2008-2-12
影响系统和软件:
Microsoft Works 6 文件转换器
-- Microsoft Office 2003 Service Pack 2
-- Microsoft Office 2003 Service Pack 3
-- Microsoft Works 8.0
-- Microsoft Works Suite 2005
CVE编号:
CVE-2007-0216
CVE-2008-0105
CVE-2008-0108
风险等级:重要
详细信息:
1 Microsoft Works 文件转换器输入验证漏洞
由于验证具有 .wps 格式的节长度标头的方式不适当,Microsoft Works 文件转换器中存在一个远程执行代码漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建新帐户。
2 Microsoft Works 文件转换器索引表漏洞
由于验证具有 .wps 文件格式的节标头索引表信息的方式不适当,Microsoft Works 文件转换器中存在一个远程执行代码漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建新帐户。
3 Microsoft Works 文件转换器字段长度漏洞
由于验证具有 .wps 文件格式的各种字段长度信息的方式不适当,Microsoft Works 文件转换器中存在一个远程执行代码漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建新帐户。
解决办法
临时解决办法:
1 通过限制对 WKCVQD01.DLL 的访问而禁用安装的 Works 文件转换器副本
对于 Windows XP:
Echo y| cacls "%ProgramFiles%\Common Files\Microsoft
shared\TextConv\wkcvqd01.dll" /E /P everyone:N
对于 Windows Vista:
Takeown.exe /f "%ProgramFiles%\Common Files\Microsoft Shared\TextConv
\wkcvqd01.dll"
Icacls.exe "%ProgramFiles%\Common Files\Microsoft
Shared\TextConv\wkcvqd01.dll" /save %TEMP%\wkcvqd01 _ACL.TXT
Icacls.exe "%ProgramFiles%\Common Files\Microsoft
Shared\TextConv\wkcvqd01.dll" /deny everyone:(F)
2 阻止安装 WKCVQD01.DLL
对于 Windows XP:
md "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\"
echo Placeholder > "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\wkcvqd01.dll"
Echo y| cacls "%ProgramFiles%\Common Files\Microsoft
Shared\TextConv\wkcvqd01.dll" /E /P everyone:N
对于 Windows Vista:
md "%ProgramFiles%\Common Files\Microsoft Shared\TextConv\"
echo Placeholder > "%ProgramFiles%\Common Files\Microsoft
Shared\TextConv\wkcvqd01.dll"
Icacls.exe "%ProgramFiles%\Common Files\Microsoft
Shared\TextConv\wkcvqd01.dll" /deny everyone:(F)
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用我们提供的sus服务(http://sus.dhu.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-011.mspx
http://www.ccert.edu.cn/announce/show.php?handle=128
