微软刚刚发布了2008年1月份的2个安全公告,其中有1为严重等级,1个为重要等级,它们分别是:
Microsoft 安全公告 MS08-001
Windows TCP/IP 中的漏洞可能允许远程执行代码 (941644)
发布日期: 2008-1-8
影响系统:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Professional x64 Edition 和
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 和 Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition 和 Windows Server 2003
x64 Edition Service Pack 2
Windows Server 2003 SP1(用于基于 Itanium 的系统)以及
Windows Server 2003 SP2(用于基于 Itanium 的系统)
Windows Vista
Windows Vista x64 Edition
CVE编号:
CVE-2007-0066
CVE-2007-0069
风险等级:严重
详细信息:
1 Windows 内核 TCP/IP/IGMPv3 和 MLDv2 漏洞
由于 Windows 内核处理存储 IGMPv3 和 MLDv2 查询状态的TCP/IP 结构的方式,Windows 内
核中存储一个远程执行代码漏洞。 Microsoft Windows XP、Windows Server 2003、和Windows
Vista 的受支持版本均支持 IGMPv3。除 IGMPv3 之外,Windows Vista 支持 MDLv2,它可为
IPv6 网络增加多播支持。 匿名攻击者可以通过在网络上将特制的 IGMPv3 和 MLDv2 数据包
发送到计算机来利用此漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者
可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
2 Windows 内核 TCP/IP/ICMP 漏洞 - CVE-2007-0066
由于 Windows 内核处理零碎的路由器播发 ICMP 查询的方式,TCP/IP 中存在一个拒绝服务漏
洞。 默认情况下不启用 ICMP 路由器发现协议 (RDP),利用此漏洞需要该协议。 但是,在
Windows 2003 Server 和 Windows XP 上,可以通过 DHCP 或注册表中的某个设置启用 RDP;
在 Windows 2000 上,可以通过注册表中的一个设置启用 RDP。 匿名攻击者可以通过在网络上
将特制的 ICMP 数据包发送到计算机来利用此漏洞。 利用此漏洞的攻击者可能会导致计算机停止
响应和自动重新启动。
解决办法
临时解决办法:
1 禁用 IGMP 和 MLD 处理
通过在注册表中修改 IGMPLevel 控件,有助于防止利用 IGMP 漏洞的尝试。
要禁用 IGMP 和 MLD 处理,请执行下列步骤:
1 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
2 展开 HKEY_LOCAL_MACHINE。
3 依次展开 SYSTEM、CurrentControlSet 和 Services。
4 依次展开 TCPIP、Parameters 和 IGMPLevel。
5 将 DWORD 值更改为 0。
注意 您必须重新启动系统以使更改生效
2 在周边防火墙上阻止 IGMP 和 MLD
防火墙最佳做法和标准的默认防火墙配置有助于保护网络免受源自企业外部的 IGMP 和 MLD 攻击。
3 在 Vista 防火墙上阻止 IGMP 和 MLD 入站单击“控制面板”,单击“管理工具”,
然后双击“高级安全 Windows 防火墙”。
阻止 IGMP:
1 选择“入站规则”。
2 选择“核心网络 - Internet 组管理协议 (IGMP-In)”。
3 右键单击“选择属性”。
4 选择“阻止连接”。
阻止 MLD:
1 选择“入站规则”。
2 选择“核心网络 - 多播侦听程序查询 (ICMPv6-In)”。
3 右键单击“选择属性”。
4 选择“阻止连接”。
4 禁用路由器发现协议处理
默认情况下,路由器发现协议在所有受影响的平台上均处于禁用状态。 如果已启用路由器发
现协议,使用以下变通办法可禁用它。 通过在注册表中设置 PerformRouterDiscovery 值,有助
于防止利用 ICMP 漏洞的尝试。
要禁用 ICMP 处理,请执行下列步骤:
1 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
2 展开 HKEY_LOCAL_MACHINE。
3 依次展开 SYSTEM、CurrentControlSet 和 Services。
4 依次展开 TCPIP、Parameters 和 Interfaces。
5 选择 interface_name 并将 PerformRouterDiscovery 值设置为 0。
注意 您必须重新启动系统以使更改生效。
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建
议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用
我们提供的sus服务(http://sus.ccert.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-001.mspx
微软安全公告MS08-002
LSASS 中的漏洞可能允许本地特权提升 (943485)
发布日期: 2008-1-08
影响系统:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Professional x64 Edition 和
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 和
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition 和
Windows 2003 Server x64 Edition Service Pack 2
Windows Server 2003 SP1(用于基于 Itanium 的系统)以及
Windows Server 2003 SP2(用于基于 Itanium 的系统)
CVE编号:
CVE-2007-5352
风险等级:重要
详细信息:
由于本地过程调用 (LPC) 请求的处理不正确,Microsoft Windows 本地安全机构子系统服务
(LSASS) 中存在一个特权提升漏洞。 该漏洞能够允许攻击者使用提升的特权运行代码。 成
功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或
删除数据;或者创建拥有完全用户权限的新帐户。
解决办法
临时解决办法:
Microsoft 并未发现此漏洞的任何变通办法。
补丁更新:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,由于补丁安装选择比较复杂,我们不建
议您使用手工安装的方式,你可以使用windows自带的update功能进行更新,同时你也可以使用
我们提供的sus服务(http://sus.ccert.edu.cn)进行更新.
参考链接:
http://www.microsoft.com/china/technet/security/bulletin/ms08-002.mspx