微軟近日在2015年8月周二補(bǔ)丁日發(fā)布了14個(gè)安全公告，其中四個(gè)公告被評(píng)為“嚴(yán)重”，六個(gè)可能最終導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

根據(jù)Qualys公司首席執(zhí)行官Wolfgang Kandek表示，本月最重要的公告是MS15-081，其中包含Microsoft Office 2007、2010和2013中的漏洞。微軟表示，這些漏洞中最嚴(yán)重的漏洞可能在用戶打開特制的Office文件后允許遠(yuǎn)程代碼執(zhí)行(RCF)。

Kandek指出，Office安全漏洞被評(píng)為“嚴(yán)重”很罕見，并且，該漏洞的漏洞利用已經(jīng)被發(fā)現(xiàn)。

“對(duì)于Office漏洞，被評(píng)為嚴(yán)重很少見，因?yàn)閷?duì)于需要用戶交互操作(例如打開DOCX文件)的漏洞，微軟通常會(huì)對(duì)漏洞降級(jí)，”Kandek表示，“但CVE-2015-2466被評(píng)為嚴(yán)重，這表明該漏洞可能被自動(dòng)觸發(fā)，可能通過Outlook電子郵件預(yù)覽窗格，并提供遠(yuǎn)程代碼執(zhí)行，讓攻擊者可控制目標(biāo)計(jì)算機(jī)。”

Tripwire公司漏洞研究團(tuán)隊(duì)計(jì)算機(jī)安全研究人員Craig Young表示，這是一個(gè)嚴(yán)重的問題，也是非常常見的問題。

“處理來自不受信任來源的文件一直是并將永遠(yuǎn)是威脅的操作，”Young稱，“在連接到公共Wi-Fi或其他不受信任網(wǎng)絡(luò)時(shí)，用戶應(yīng)該謹(jǐn)慎地下載和打開文檔，因?yàn)榫W(wǎng)絡(luò)級(jí)攻擊者可能會(huì)插入惡意內(nèi)容到傳輸中的文件。”

MS15-080公告中包含微軟圖形組件中的漏洞，當(dāng)用戶打開特制的文檔或訪問包含嵌入TrueType或OpenType字體的未經(jīng)授權(quán)網(wǎng)頁時(shí)，該漏洞可能允許遠(yuǎn)程代碼執(zhí)行。專家稱應(yīng)重點(diǎn)關(guān)注這個(gè)安全公告，因?yàn)楹芏嘬浖际艿接绊懀ㄎ④汱ync、Spotlight、Office 2007和2010，以及所有受支持的Windows版本。

MS15-079是本月針對(duì)IE瀏覽器的安全公告，其中涉及13個(gè)漏洞，10個(gè)漏洞被評(píng)為嚴(yán)重，可能允許遠(yuǎn)程代碼執(zhí)行。

本月最后一個(gè)嚴(yán)重安全公告是MS15-091，這也是針對(duì)Windows 10中新的Edge瀏覽器的第一個(gè)安全公告;專家指出，雖然這是一個(gè)關(guān)鍵安全公告，但這個(gè)影響并不廣泛，因?yàn)閃indows 10在兩個(gè)星期前才發(fā)布。Kandek還指出，該公告中列出的針對(duì)Edge瀏覽器的三個(gè)嚴(yán)重RCE漏洞同樣被列在影響IE的安全公告中。

重要原因

Young指出，盡管還有兩個(gè)安全公告中的漏洞可能允許遠(yuǎn)程代碼執(zhí)行，但它們其實(shí)沒有那么可怕。

MS15-085中的漏洞涉及所有支持版本的Windows中的Mount Manager，如果攻擊者插入惡意USB設(shè)備到目標(biāo)系統(tǒng)，然后寫入惡意二進(jìn)制到磁盤并執(zhí)行，這可能允許特權(quán)提升。

對(duì)于這個(gè)漏洞的嚴(yán)重程度，專家們存在爭(zhēng)議，微軟將該漏洞標(biāo)記為“重要”，這通常意味著該漏洞比“嚴(yán)重”漏洞更難以被利用。但該漏洞已經(jīng)被公開利用，這讓一些專家認(rèn)為這是本月安全公告中的重要漏洞。但Young表示，該漏洞沒有看起來那么容易被利用。

“我的第一反應(yīng)是，這可能是另一個(gè)pwn漏洞，例如針對(duì)伊朗核計(jì)劃的Stuxnet攻擊中使用的LNK漏洞利用。然而，在仔細(xì)分析后，我發(fā)現(xiàn)這完全不是一回事，”Young稱，“這很容易被本地攻擊者用來執(zhí)行DLL或二進(jìn)制劫持攻擊，以在系統(tǒng)允許下執(zhí)行代碼，但這似乎不會(huì)為系統(tǒng)提供攻擊向量來在插入U(xiǎn)SB時(shí)自動(dòng)感染系統(tǒng)。此外，似乎攻擊者不能利用該漏洞來獲得鎖定系統(tǒng)的權(quán)限，因?yàn)闆]有自動(dòng)代碼執(zhí)行。”

Young還指出，雖然MS15-082涉及遠(yuǎn)程桌面協(xié)議中的漏洞—這可能允許遠(yuǎn)程代碼執(zhí)行，但微軟將該公告評(píng)為“重要”而不是“嚴(yán)重”，這里有一定的原因。

“對(duì)于MS15-082中的漏洞，如果攻擊者已經(jīng)有一定程度的訪問權(quán)來將DLL文件加載到受害者當(dāng)前工作目錄然后加載.RDP文件，那么攻擊者可能實(shí)現(xiàn)‘遠(yuǎn)程’代碼執(zhí)行，”Young表示，“雖然這可能應(yīng)用于實(shí)際攻擊，但這需要與用戶一定水平的交互來成功執(zhí)行攻擊。”

其余所有的安全公告都被評(píng)為“重要”，其中一個(gè)安全公告中的Windows Server Messages Blockk的漏洞可能允許遠(yuǎn)程代碼執(zhí)行(MS15-083);三個(gè)安全公告的XML核心服務(wù)(MS15-084)、WebDAV(MS15-089)以及Windows、IE和Office如何傳遞命令行參數(shù)(MS15-088)中的漏洞可能導(dǎo)致信息泄露;最后四個(gè)安全公告中的Microsoft System Center Operations Manager(MS15-086)、UDDI服務(wù)(MS15-087)、Windows(MS15-090)以及.NET框架(MS15-092)中的漏洞可能允許特權(quán)提升。