安全研究

紧急通告
绿盟科技紧急通告(Alert2005-06)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布2005年8月份安全公告 修复多个严重安全漏洞

发布日期:2005-08-10


综述:
======
微软刚刚发布了6个安全公告,这些公告描述并修复了9个安全漏洞,其中MS05-038/MS05-039/MS05-043中所描述的安全漏洞属于“紧急”风险级别。攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。根据这些漏洞的严重性,有可能会出现利用这些漏洞的蠕虫。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,并参考我们提供的解决方法予以解决。

分析:
======
微软刚刚发布了6个最新的安全公告: MS05-038到MS05-043。这些安全公告分别描述了4个安全问题,分别是有关各版本的Microsoft Windows的漏洞。

1.  MS05-038 - Internet Explorer累计安全更新(896727)

    - 受影响系统:
    
    Microsoft Windows 2000 Service Pack 4
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    Microsoft Windows XP Professional x64 Edition
    Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service Pack 1
    Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows
    Server 2003 with Service Pack 1 for Itanium-based Systems
    Microsoft Windows Server 2003 x64 Edition
    Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)
  
    - 受影响组件:
    
    Microsoft Windows 2000 Service Pack 4上的Internet Explorer 5.01 Service
    Pack 4 - 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=194E0EE7-919C-4A8B-AD8D-01A4FE771942

    Microsoft Windows 2000 Service Pack 4或Microsoft Windows XP Service Pack
    1上的Internet Explorer 6 Service Pack 1 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=68300B15-1CF9-45FB-875E-2EF6D2FBC9ED

    Microsoft Windows XP Service Pack 2的Internet Explorer 6 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=648B6F0E-1695-44E5-826A-43406DF4858E

    Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service
    Pack 1的Internet Explorer 6 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=F0B96EC3-E954-423A-9AB0-5712B9F14637
    
    Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft
    Windows Server 2003 with SP1 for Itanium-based Systems的Internet
    Explorer 6 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=C24D3738-213A-41B8-84A3-2842B34D7B10

    Microsoft Windows Server 2003 x64 Edition的Internet Explorer 6 – 下载更
    新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=F2D544E7-33F5-4A65-A574-15495B05B883

    Microsoft Windows XP Professional x64 Edition的Internet Explorer – 下载
    更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=1181BC67-0A1D-4A06-99AC-5B2BC6DFE0F6

    Microsoft Windows Millennium Edition上的Internet Explorer 5.5 Service
    Pack 2
    
    Microsoft Windows 98, Microsoft Windows 98 SE或Microsoft Windows Millennium
    Edition上的Internet Explorer 6 Service Pack 1
    
    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    Internet Explorer中存在多个漏洞,最严重的漏洞可能允许攻击者完全控制受影
    响的系统。

    风险级别和漏洞标识
_____________________________________________________________________________
|             |       |Internet |Windows ME|Internet  |Internet   |Internet  |
|漏洞标识     |漏洞   |Explorer |上的      |Explorer 6|Explorer 6 |Explorer 6|    
|             |影响   |5.0 SP4  |Internet  |SP1(所有 |for Windows|forWindows|
|             |       |         |Explorer  |Windows   |Server 2003|XP SP2    |
|             |       |         |5.5 SP2   |Server2003|和Windows  |          |
|             |       |         |          |之前支持版|Server 2003|          |
|             |       |         |          |本)      |SP1        |          |
|_____________|_______|_________|__________|__________|___________|__________|
|JPEG图形渲染 |       |         |          |          |           |          |
|内存破坏漏洞 |远程执 |紧急     |紧急      |紧急      |紧急       |紧急      |
|CAN-2005-1988|行代码 |         |          |          |           |          |
|_____________|_______|_________|__________|__________|___________|__________|
|Web文件夹行为|       |         |          |          |           |          |
|跨域漏洞     |信息泄 |中等     |中等      |中等      |低         |中等      |
|CAN-2005-1989|漏     |         |          |          |           |          |
|_____________|_______|_________|__________|__________|___________|__________|
|COM对象实例化|       |         |          |          |           |          |
|内存破坏漏洞 |远程执 |紧急     |紧急      |紧急      |中等       |紧急      |
|CAN-2005-1990|行代码 |         |          |          |           |          |
|_____________|_______|_________|__________|__________|___________|__________|
|所有漏洞总体 |       |         |          |          |           |          |
|风险级别     |       |紧急     |紧急      |紧急      |紧急       |紧急      |
|_____________|_______|_________|__________|__________|___________|__________|
    
    - 临时解决方案:

    * 如果在使用Outlook 2002或之后版本,或Outlook Express 6 SP1或之后版本的
      话,以纯文本格式阅读e-mail消息可以帮助防范HTML e-mail攻击
          
    * 将Internet和本地intranet安全区设置为“高”,这样在Internet区和本地intranet
      区中运行ActiveX控件和活动脚本之前会得到提示
      
    * 配置Internet Explorer在运行ActiveX控件前要求提示,或在Internet和本地
      intranet安全区中禁用ActiveX控件
    
    * 将Web站点仅限为可信任的Web站点
              
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:

    http://www.microsoft.com/technet/security/Bulletin/MS05-038.mspx
    
2.  MS05-039 - 即插即用中的漏洞可能允许远程执行代码和权限提升(899588)

    - 受影响系统:
    
    Microsoft Windows 2000 Service Pack 4 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=E39A3D96-1C37-47D2-82EF-0AC89905C88F
    
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=9A3BFBDD-62EA-4DB2-88D2-415E095E207F

    Microsoft Windows XP Professional x64 Edition – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=89D90E25-4773-4782-AD06-9B7517BAB3C8

    Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service
    Pack 1 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=6275D7B7-DAB1-47C8-8745-533EB471072C

    Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows
    Server 2003 with SP1 for Itanium-based Systems – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=BE18D39D-3E4C-4C6F-B841-2CCD8D4C3F50

    Microsoft Windows Server 2003 x64 Edition – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=D976316D-3B17-4AD4-9198-513FFDAC98E4

    - 不受影响系统:
    
    Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)

    - 漏洞危害: 远程执行代码和本地权限提升
    - 严重程度: 紧急
    - 漏洞描述:

    即插即用(PnP)中的远程代码执行漏洞可能允许成功利用这个漏洞的攻击者完全
    控制受影响的系统.

    风险级别和漏洞标识
       _______________________________________________
     |漏洞标识     |漏洞影响  |Windows|Windows |Windows|
     |             |          |2000   |XP      |Server |
     |             |          |       |        |2003   |
     |_____________|__________|_______|________|_______|
     |即插即用漏洞 |远程代码执|紧急   |重要    |重要   |
     |CAN-2005-1983|行和本地  |       |        |       |
     |             |权限代码  |       |        |       |
     |_____________|__________|_______|________|_______|
    
    - 临时解决方案:

    * 在防火墙阻断TCP 139和445端口

    * 使用个人防火墙,如Windows XP捆绑的Internet连接防火墙

    * 在支持高级TCP/IP过滤的系统上启用该功能

    * 在受影响的系统上使用IPSec阻断受影响的端口
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
    http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx
    
3.  MS05-040 - Telephony服务中的漏洞可能允许远程执行代码(893756)

    - 受影响系统:
    
    Microsoft Windows 2000 Service Pack 4 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=C7417EA1-7AFC-4A55-95DC-E814975B8AE6
    
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=B049004B-AF28-41D7-8AE6-7A3DB15211F1
    
    Microsoft Windows XP Professional x64 Edition – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=705545D0-B53B-4E17-8B62-A4C652697C61
    
    Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service
    Pack 1 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=0097FE14-1D6B-4423-A437-DEA1ED665A07
    
    Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows
    Server 2003 with SP1 for Itanium-based Systems – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=BC16BEAE-0BAD-490C-A80F-4BF81C360CA0
    
    Microsoft Windows Server 2003 x64 Edition – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=0CEF9CC2-A7BD-42E0-81B1-EDC303DA8A40
    
    Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)
    
    - 漏洞危害: 远程执行代码
    - 严重程度: 重要
    - 漏洞描述:

    电话应用程序编程接口(TAPI)服务中的漏洞可能允许远程执行代码。

    风险级别和漏洞标识
      ____________________________________________________________
     |漏洞标识     |漏洞影响 |Windows  |Windows|Windows |Windows |
     |             |         |98,98 SE,|2000   |XP      |Server  |
     |             |         |ME       |       |        |2003    |
     |_____________|_________|_________|_______|________|________|
     |Telephony服务|         |         |       |        |        |
     |漏洞         |远程执行 |非紧急   |重要   |重要    |重要    |
     |CAN-2005-0058|代码     |         |       |        |        |
     |_____________|_________|_________|_______|________|________|
    
    - 临时解决方案:
    
    * 禁用Telephony服务
        
    * 在防火墙阻断以下端口:
      
      UDP 135,137,138和445端口,TCP 135,139,445和593端口
      大于1024端口上所有非请求的入站通讯
      任何其他特别配置的RPC端口
      
    * 使用个人防火墙,如Windows XP和Windows Server 2003捆绑的Internet连接防
      火墙

    * 在支持高级TCP/IP过滤的系统上启用该功能

    * 在受影响的系统上使用IPSec阻断受影响的端口

    - 厂商补丁:                

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
     http://www.microsoft.com/technet/security/bulletin/MS05-040.mspx
    
4.  MS05-041 - 远程桌面协议中的漏洞可能允许拒绝服务(899591)

    - 受影响系统:
    
    Microsoft Windows 2000 Server Service Pack 4 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=18255896-8C5D-45C5-8840-C0C6EE1B14BB
    
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=A229F193-DA3F-4014-925D-1EACF5BA296C
    
    Microsoft Windows XP Professional x64 Edition – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=79AD267F-1A2E-4597-AFD6-53369F0DD8B7
    
    Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service
    Pack 1 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=EFD642EF-95E2-4A99-8FFD-6032D86282A2
    
    Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows
    Server 2003 with SP1 for Itanium-based Systems – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=E5342572-C494-489D-A69E-290070EBFF1C
    
    Microsoft Windows Server 2003 x64 Edition – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=F3DBA966-0F24-4129-9B55-2144E7F9D5DA

    - 不受影响系统:    
    
    Microsoft Windows 2000 Professional Service Pack 4

    Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)
    
    - 漏洞危害: 拒绝服务
    - 严重程度: 中等
    - 漏洞描述:

    远程桌面协议(RDP)中的漏洞可能允许攻击者导致系统停止响应。

    风险级别和漏洞标识
      ________________________________________________
     |漏洞标识     |漏洞影响  |Windows|Windows |Windows|
     |             |          |2000   |XP      |Server |
     |             |          |Server |        |2003   |
     |_____________|__________|_______|________|_______|
     |远程桌面协议 |          |       |        |       |
     |漏洞         |拒绝服务  |中等   |中等    |中等   |
     |CAN-2005-1218|          |       |        |       |
     |_____________|__________|_______|________|_______|
    
    - 临时解决方案:

    * 如果不是必须的话,禁用终端服务、远程桌面、远程协助和Windows Small Business
      Server 2003远程Web工作站功能
          
    * 在企业边界防火墙阻断TCP 3389端口
      
    * 使用IPsec测量确保远程桌面连接安全
    
    * 使用虚拟专用网(VPN)连接确保远程桌面连接安全              
  
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:

    http://www.microsoft.com/technet/security/Bulletin/MS05-041.mspx
    
5.  MS05-042 - Kerberos中的漏洞可能允许拒绝服务,信息泄漏和欺骗(899587)

    - 受影响系统:
    
    Microsoft Windows 2000 Service Pack 4 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=4E34CD17-8710-4E22-8620-3B84139C18BB
    
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=DD24F6FA-F6BB-4358-8C2F-7F6AB405981A
    
    Microsoft Windows XP Professional x64 Edition – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=FB703DBD-3563-41FD-B608-361CC23796A5
    
    Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service
    Pack 1 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=34E7CF41-C584-4071-A36F-DE19D0D04B97
    
    Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows
    Server 2003 with SP1 for Itanium-based Systems – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=037CD6D6-11F7-4C44-9CFB-4B6D0B9B93CB
    
    Microsoft Windows Server 2003 x64 Edition – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=B86E688C-B668-4841-B961-7C5412C525EC
    
    - 不受影响系统:
    
    Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)

    - 漏洞危害: 拒绝服务、信息泄漏和欺骗
    - 严重程度: 中等
    - 漏洞描述:

    更新修复了两个新发现的漏洞,其中最严重的漏洞可能允许负责在活动桌面域中
    认证用户的服务停止响应。

    风险级别和漏洞标识
      ____________________________________________________________
     |漏洞标识     |漏洞影响 |Windows  |Windows|Windows |Windows |
     |             |         |2000     |2000   |XP      |Server  |
     |             |         |Pro      |Server |        |2003    |
     |_____________|_________|_________|_______|________|________|
     |Kerberos漏洞 |         |         |       |        |        |
     |CAN-2005-1981|拒绝服务 |无       |中等   |无      |中等    |
     |_____________|_________|_________|_______|________|________|
     |             |         |         |       |        |        |
     |PKINIT漏洞   |信息泄漏 |低       |低     |低      |低      |
     |CAN-2005-1982|和欺骗   |         |       |        |        |
     |_____________|_________|_________|_______|________|________|
     |所有漏洞总体 |         |         |       |        |        |
     |风险级别     |         |低       |中等   |低      |中等    |
     |_____________|_________|_________|_______|________|________|  
    
    - 临时解决方案:

    * 在防火墙阻断UDP和TCP 88端口

    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
    http://www.microsoft.com/technet/security/bulletin/MS05-042.mspx
    
6.  MS05-043 - Print Spooler服务中的漏洞可能允许远程执行代码(896423)

    - 受影响系统:
    
    Microsoft Windows 2000 Service Pack 4 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?familyid=3DD3B530-7F43-4C18-8298-6E8797431A5D
    
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?familyid=EF402946-1C3B-47E9-9D51-77D890DF8725
    
    Microsoft Windows Server 2003 – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?familyid=25469675-DF28-4889-8D13-25EFCD498388
    
    Microsoft Windows Server 2003 for Itanium-based Systems – 下载更新:
    http://www.microsoft.com/downloads/details.aspx?familyid=F0AEC064-34A3-4EE4-9F15-BE1E3DD02BC7
    
    - 不受影响系统:
    
    Microsoft Windows XP Professional x64 Edition
    Microsoft Windows Server 2003 Service Pack 1
    Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
    Microsoft Windows Server 2003 x64 Edition
    Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)
        
    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    Print Spooler服务中的漏洞可能允许远程执行代码。

    风险级别和漏洞标识
      ____________________________________________________________
     |漏洞标识     |漏洞影响 |Windows  |Windows|Windows |Windows |
     |             |         |2000     |XP SP1 |XP SP2  |Server  |
     |             |         |         |       |        |2003    |
     |_____________|_________|_________|_______|________|________|
     |打印后台程序 |         |         |       |        |        |
     |漏洞         |远程执行 |紧急     |紧急   |中等    |中等    |
     |CAN-2005-1984|代码     |         |       |        |        |
     |_____________|_________|_________|_______|________|________|
    
    - 临时解决方案:
    
    * 禁用Print Spooler服务
        
    * 在Windows 2000 Server Service Pack 4上,从NullSessionPipes注册表项删
    除Print Spooler服务

    - 厂商补丁:                

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
     http://www.microsoft.com/technet/security/bulletin/MS05-043.mspx

附加信息:
==========
1. http://www.microsoft.com/technet/security/bulletin/MS05-038.mspx
2. http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx
3. http://www.microsoft.com/technet/security/bulletin/MS05-040.mspx
4. http://www.microsoft.com/technet/security/bulletin/MS05-041.mspx
5. http://www.microsoft.com/technet/security/bulletin/MS05-042.mspx
6. http://www.microsoft.com/technet/security/bulletin/MS05-043.mspx
7. http://www.microsoft.com/technet/security/bulletin/ms05-aug.mspx
8. http://www.us-cert.gov/cas/techalerts/TA05-221A.html
9. http://www.nsfocus.net/index.php?act=alert&do=view&aid=56

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技