在2012年5月的周二補丁日微軟發(fā)布了一個綜合的更新文件來修補與Duqu惡意軟件有關(guān)的字體解析代碼漏洞，解決了在Office產(chǎn)品、Windows系統(tǒng)和.NET框架中的一些嚴重缺陷。這個軟件巨人發(fā)布了7個安全公告、其中3個評級為“嚴重”，共修補產(chǎn)品線的23個漏洞。

自從去年11月以來這是微軟第2次更新受Duqu木馬影響的軟件。自從去年10月以來安全研究人員一直在研究Duqu木馬，初步的研究發(fā)現(xiàn)它與臭名昭著的Stuxnet蠕蟲有著類似的代碼。不過不像Stuxnet蠕蟲那樣，Duqu木馬不是用來干擾關(guān)鍵的進程。相反，它悄悄地收集廠商工業(yè)系統(tǒng)的信息。MS11-087安全公告解決了被Duqu木馬利用的Office文檔攻擊途徑。而且在一篇博客中，微軟的工程師Jonathan Ness表示在其它的產(chǎn)品也發(fā)現(xiàn)同樣的代碼用于自定義字體，包括第三方的瀏覽器。Ness強調(diào)Duqu木馬的攻擊目標不是安全公告MS12-034解決的那些軟件缺陷。

今天發(fā)布的MS12-034作為修復(fù)Duqu漏洞的一部分，修補了在Windows Journal Viewer、Silverlight和.NET Framework框架中的10個漏洞。通過將Windows Vista中使用的安全功能添加到Windows XP和Windows Server 2003中，該補丁還解決了某個惡意的鍵盤布局文件攻擊。

VMware公司的研發(fā)經(jīng)理、漏洞專家Jason Miller表示，由于該漏洞的重量性、以及通過簡單的路過式攻擊就可以觸發(fā)它，該安全公告極其重要。

“在這個公告中涵蓋了你已經(jīng)擁有的、許多不同類型的操作系統(tǒng)以及不同的產(chǎn)品。它將會觸及到網(wǎng)絡(luò)的許多不同的組件”，Miller說道。此外，他談到這些漏洞中的3個已經(jīng)被公開，所以給必要的系統(tǒng)安裝補丁尤為重要。

據(jù)Miller表示該補丁安裝過程需要安全專家許多耐心，安全從業(yè)人員應(yīng)該“反復(fù)地檢查報告，并且回到他們的系統(tǒng)，確保安裝了每個補丁。該安全公告包括30個多個補丁”，可能除了Silverlight沒有被廣泛地使用以外，每個補丁都同等地重要。

“嚴重”的微軟Office漏洞

安全公告MS12-029的等級也是“嚴重”，它解決了Office的一個漏洞。由于Office讀取RTF文檔方式的某個缺陷使得攻擊者可以遠程執(zhí)行代碼。

位于加利福尼亞紅木海岸的漏洞管理廠商、Qualys有限公司的CTO Wolfgang Kandek也表示應(yīng)該優(yōu)先考慮安全公告MS12-029，因為該漏洞可以被簡單地觸發(fā)。

“最關(guān)鍵的問題是，在平常的Office產(chǎn)品漏洞中你總是必須打開某個文件才能觸發(fā)漏洞。而它，你只需要在Outlook中預(yù)覽消息就能觸發(fā)它”，Kandek談道。打開郵件附件中的惡意RTF文件，或者是訪問被入侵的web站點也能觸發(fā)該漏洞。

這個Office的漏洞是危險的，盡管在它們到達用戶的收件箱前，通常有過濾器攔截這些惡意文件。RTF文件是十分常見的，很可能被允許通過，Miller表示。成功的攻擊能讓攻擊者完全控制受到影響的系統(tǒng)。

#p#

“一個RTF文檔將會釋放負載數(shù)據(jù)。在大多數(shù)情況下你不會收到某些類型的文件或是附件，但是RTF文檔是常見的，可能會通過檢查”，Miller表示。

微軟建議用戶為他們的word 2003和2007產(chǎn)品，Mac平臺的Office 2008 和2011產(chǎn)品，以及Office兼容包的所有支持版本安裝更新文件。該更新文件解決了在MS12-030安全公告牌中發(fā)現(xiàn)的同樣漏洞，并且會重新配置Office產(chǎn)品解析RTF格式數(shù)據(jù)的方式。

微軟的第3個安全公告等級為“嚴重”，它修補了在.NET框架中的2個漏洞。微軟表示，MS12-035安全公告解決的漏洞可以被攻擊者遠程利用，假設(shè)用戶訪問了惡意的web站點。受害者必須使用能夠運行XAML瀏覽器應(yīng)用(XAML Browser Applications，簡稱XBAP)的web瀏覽器。

在這個安全公告牌中解決的漏洞都涉及到.NET框架所有支持版本的序列化(serialization)過程。當(dāng).NET框架錯誤地把不可信數(shù)據(jù)當(dāng)作可信數(shù)據(jù)對待時，會導(dǎo)致CVE-2012-0160編號的漏洞。當(dāng).NET框架在處理過程中處理異常情況時，會造成CVE-2012-0161編號的漏洞。

在這兩種情況下，Windows的.NET應(yīng)用可能被用于繞過代碼訪問安全限制。此外，微軟表示包含專門構(gòu)造的XBAP的web站點可以利用這個漏洞，如果攻擊者能夠讓用戶訪問這個站點的話。

Kandek建議安裝該補丁文件，但是另一個避免這個漏洞的方法是如果不使用的話就關(guān)閉英特網(wǎng)的XBAP功能。“如果你不需要的話，禁用它。這樣你會得到一個更為強健的配置”，他說道。

2012年5月的周二補丁日： “重要”的安全公告

5月的更新文件也包括4個評級為“重要”的更新文件。它們解決了Office和Windows系統(tǒng)中的編碼錯誤，這些錯誤而會允許遠程執(zhí)行代碼和擴大權(quán)限。這兩個Windows更新要求重啟，然而其余5個可能需要重啟。

MS12-030 安全公告解決了一個公開的、以及五個私下報告的Office漏洞，如果用戶打開某個專門構(gòu)造的Office文件，這些漏洞會允許攻擊者遠程執(zhí)行代碼。微軟建議為所有支持版本的產(chǎn)品安裝補丁，包括Excel 2003、2007和2010、Office2007和2010、Mac平臺的Office 2008和2011，以及Excel Viewer和Office兼容包。

MS12-032安全公告解決的Visio Viewer 2010漏洞可以允許遠程執(zhí)行代碼，假設(shè)用戶打開了某個專門構(gòu)造的Visio文件。據(jù)微軟表示，“當(dāng)Visio處理專門構(gòu)造的Visio文件在驗證屬性時，可以執(zhí)行遠程代碼漏洞”，該漏洞在所有支持版本的Visio Viewer 2010產(chǎn)品中都有。

對于所有支持版本的Windows Vista、Server 2008、Windows 7以及Server 2008 R2來說MS12-032安全公告被評級為“重要”。它修改了Windows防火墻處理向外廣播數(shù)據(jù)包的方式、以及Windows系統(tǒng)的TCP/IP協(xié)議棧處理綁定IPv6地址到本地接口的方式，以便防止權(quán)限提升。

最后一個安全公告MS12-03解決了在Windows Partition Manager產(chǎn)品中的漏洞，在所有支持版本的Windows Vista、Windows 7 、Server 2008以及2008 R2系統(tǒng)上該漏洞也允許權(quán)限提升。該補丁糾正了Windows Partition Manager在內(nèi)存中分配對象的方式。