近日有報(bào)道,Microsoft XML Core Services漏洞仍然是電腦用戶(hù)面臨的最大風(fēng)險(xiǎn)之一,超過(guò)43%的用戶(hù)正在運(yùn)行存在漏洞的版本。您能否解釋為什么這些問(wèn)題依然存在以及緩解問(wèn)題的最好方法呢?
Michael Cobb:Secunia 在對(duì)2014年漏洞軟件的第二季度報(bào)告中指出,Microsoft XML Core Services 4.0 (MSXML)是美國(guó)電腦用戶(hù)面臨的最大風(fēng)險(xiǎn)。現(xiàn)在有多種版本的MSXML,這也是4.0版本仍構(gòu)成風(fēng)險(xiǎn)的原因之一。MSXML 3.0和MSXML 6.0是Windows和IE的一部分,MSXML 5.0則安裝在Office 2003和2007中。而MSXML 4.0主要針對(duì)構(gòu)建以XML為中心的應(yīng)用的開(kāi)發(fā)人員。這些應(yīng)用會(huì)悄然安裝MSXML 4.0作為附屬物,但在2014年4月以來(lái),該版本不再受微軟支持,并不會(huì)收到任何進(jìn)一步的安全更新。
在美國(guó),79%的電腦用戶(hù)安裝了MSXML 4.0,其中,43%仍然在運(yùn)行存在漏洞的MSXML 4.0 SP 2。為什么會(huì)這樣?與其他包含在微軟產(chǎn)品中的MSXML版本不同,MSXML 4.0獨(dú)立推出,并被定義為一個(gè)“工具”(幫助完成不同任務(wù)或一組有限任務(wù)的實(shí)用工具),因此它有著與一般微軟產(chǎn)品不同的支持生命周期。微軟認(rèn)為 MSXML 4.0 SP3是與SP2完全不同的產(chǎn)品,它從來(lái)沒(méi)有被發(fā)布到自動(dòng)渠道,這意味著Windows Updates、WSUS和SCCM從來(lái)不會(huì)將用戶(hù)或企業(yè)從SP2自動(dòng)更新到SP3。
雖然最近沒(méi)有公開(kāi)披露新的漏洞,但在SP2中存在未打補(bǔ)丁的漏洞。早在2010年微軟就已經(jīng)停止支持MSXML 4.0 SP2,正因?yàn)榇耍?012年7月微軟發(fā)布針對(duì)SP3的關(guān)鍵安全更新MS12-043(修復(fù)公開(kāi)報(bào)道的遠(yuǎn)程代碼執(zhí)行漏洞)時(shí),并沒(méi)有作為MSXML 4.0 SP2的更新,導(dǎo)致用戶(hù)未打補(bǔ)丁,易受到攻擊。
緩解MSXML 4.0風(fēng)險(xiǎn)的最好方法是檢查任何已安裝的應(yīng)用是否還需要它;如果不需要,卸載它。如果舊的應(yīng)用需要這個(gè)特定版本,聯(lián)系供應(yīng)商看看是否有升級(jí)路徑,因?yàn)檫\(yùn)行不受支持的軟件或附件并不是好的做法。
在最低限度的情況下,確保你從MSXML 4.0 SP2升級(jí)到SP3;請(qǐng)注意這需要手動(dòng)更新。然后,確保在下一個(gè)自動(dòng)更新后,安裝MS13-002和MS12-043補(bǔ)丁。如果企業(yè)的傳統(tǒng)軟件需要 MSXML 4.0,企業(yè)應(yīng)該使用微軟的Enhanced Mitigation Experience Toolkit 5.0通過(guò)阻止MSXML 4.0在IE以及不屬于受信任站點(diǎn)或Intranet區(qū)域的網(wǎng)站中運(yùn)行,來(lái)緩解試圖利用SP2中未打補(bǔ)丁漏洞的潛在攻擊。
京公網(wǎng)安備 11010502049343號(hào)