作家
登录

微软发布2012年1月Windows Media补丁

作者: 来源: 2012-07-10 21:49:32 阅读 我要评论

微软已发布7个安全公告,包括1个“严重(危机)”级别的公告,它修补了一个严重的Windows Media Player缺陷,该缺陷可被用在危险的路过式(drive-by)web站点攻击中。

微软在2012年1月的补丁星期二中共修补了8个漏洞。该更新还解决了已被公共曝光的SSL/TLS实现漏洞。该SSL/TLS协议弱点能让攻击者使用SSL3.0和TLS1.0版本协议拦截加密的Web服务器流量。

Windows Media缺陷影响Windows Media Player、Microsoft Windows Media库以及微软的 DirectShow组件。微软在它的MS12-04安全公告中表示,该应用程序接口(API)设计用来在Windows中启用流媒体。

攻击者通过诱使人们用Windows Media Player运行一个恶意的MIDI文件来利用该缺陷。微软表示,该漏洞可能用在路过式攻击中,或者是通过即时消息或作为邮件附件来发送。任何恶意的媒体文件可能被用来利用该DirectShow错误,在DirectShow解析媒体文件的方式中存在的弱点,但是用户不得不禁用字幕启用选项。该更新文件适用于所有支持的Windows版本,包括Windows 7。该缺陷对Windows XP、Vista、Windows Server 2003及2008的用户们来说为“严重”级别。

位于加利福尼亚红木海岸的漏洞管理厂商Qualys公司的CTO Wolfgang Kandek表示,应该给与该Windows Media Player中的MIDI缺陷最高的优先级,因为该缺陷除了作为邮件附件外可被攻击者用在路过式攻击中。

“无需用户打开文件或是安装解码器,该MIDI文件即可独自播放,所以它可能是特别严重的漏洞”,Kandek说道。“我认为除了关闭字幕显示外,在这些媒体播放器中还有很多人们必须弄明白的事情,尽管所有这些功能都非常棒,但是它们也为攻击者打开了另一扇门”。

SSL/TLS协议的缺陷于去年9月在布宜诺斯艾利斯的Ekoparty安全大会上被曝光,该漏洞能让攻击者窃听加密的会话。微软MS12-006安全公告标识为“重要”级别,该漏洞存在于协议自身并且不仅限于Windows操作系统。在这个安全大会上,独立的安全研究员Juliano Rizzo展示了通过利用该SSL错误从HTTPS请求中解密,并获得认证令牌以及cookies文件的方法。该更新文件适用于所有支持的Windows版本。

MS12-005安全公告被评级为“重要”级别,解决了一个Windows错误,但是赛门铁克安全响应团队的安全智能经理、漏洞专家Joshua Talbot说,该补丁应得到额外的重视,因为它能被轻易地利用。借助包含恶意嵌入ClickOnce应用的微软Office Word或PowerPoint文档,这个Windows.NET中的错误可被远程利用。ClickOnce指基于Windows平台的能自我更新的应用,这些应用可以在最少的用户交互前提下安装并且运行。该更新文件影响到所有支持的Windows版本,修补Windows Packager载入ClickOnce应用的方式。

“该漏洞是由于忽视了一旦用户打开了一个Word或PowerPoint文件后,攻击者能运行恶意软件的情况”,Talbot在声明中说道。“邮件附件可能会是该漏洞被利用的最常见的攻击手法”。

该漏洞在可用性索引中评为1,意味着攻击者能快速地开发针对该漏洞的工具。但是位于加利福尼亚帕洛阿尔托市的虚拟化厂商VMware公司的研发部经理Jason Miller说道,攻击者首先必须学会如何构建ClickOnce应用。

“我看到他们正停留在习惯使用的跨站点脚本以及其它东西上”,Miller说道。“ClickOnce应用正变得更加普遍,特别是随着作为基于云的服务采用方式增长时,但是眼下我不认为这是一个主要的威胁”。

其它更新都被评级为“重要”级别,包括解决了许多Windows错误的MS12-001,解决安全功能逃避(Security Feature Bypass)漏洞的MS12-003,该Windows错误能让攻击者获得特权提升,而MS12-002更新影响到带有嵌入打包对象的合法文件在Windows系统中的运行。

【编辑推荐】

  1. 微软成功上位“云计算管理平台首选品牌”
  2. CES 2012:诺基亚微软欲凭 Lumia 900 重返美国市场
  3. 微软:iPhone迫使我们重新设计移动OS
  4. 微软前技术专家谈大企业的三大管理问题
  5. 微软技术中心架构师杨飞谈:数据中心变革对云计算的价值

  推荐阅读

  微软公告:ASP.NET曝漏洞 Win7等均中招

微软日前发布了一篇知识库文章KB2659883,介绍了之前曝光的一个DoS拒绝服务攻击漏洞及暂时解决方案,该漏洞影响很多供应商的web应用程序平台,包括微软的ASP.NET。不久前一种利用该漏洞获取散列表(hash tables)的新>>>详细阅读


本文标题:微软发布2012年1月Windows Media补丁

地址:http://www.17bianji.com/anquan/buding/9325.html

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

精彩导读
栏目ID=71的表不存在(操作类型=0)