正如人们所预料,微软没有在其2011年11月补丁星期二发布更新来解决被Duqu木马所利用的内核级Windows漏洞。微软这次共发布了四个安全公告,其中一个修复了涉及Windows TCP/IP协议栈处理UDP请求的严重远程执行漏洞。
微软建议用户采用他们上周发布的一个修复Duqu木马利用漏洞的临时办法,Duqu恶意软件最初被认为是Stuxne木马的一个分支。该漏洞存在于Win32k TrueType字体解析引擎(font parsing engine)中,微软表示攻击者利用该漏洞可以以内核模式运行任意代码,从而实现远程安装恶意软件、更改或删除数据,或创建拥有完全用户权限??的新帐户。在上周的公告中,微软称一个成功的攻击必须通过电子邮件中的恶意附件执行。
对于微软发布的全部2011年11月补丁更新,漏洞管理公司Rapid7的安全研究员兼社区经理Marcus Carey说,“这个月是一个容易管理的月份”。“Duqu仍是最值得注意的。微软还没有足够的时间来修复它。他们还在研究该漏洞的原因及相关影响。我想他们认为还不需要立即发布补丁,因为他们已经提供一个临时解决方法。”
周二的更新影响Windows XP、Windows 7, Windows Server 2008和Windows Server 2008 R2。
MS11-083是这次公告中唯一一个级别为严重(危急)的更新,它解决了微软Windows TCP/IP协议栈中的漏洞。如果不安装该补丁,在攻击者发送一个特制UDP数据包不断轰炸目标系统上的一个关闭的端口时,将可能造成远程代码执行。
然而,因为它没被公开披露,虚拟化厂商VMware公司的研究和开发经理Jason Miller表示,该更新不需要被定为这么高的警示级别。“攻击者要弄清楚发送什么样的数据包,”Miller说道,“这需要一定的时间。不过,安装该补丁仍然是很重要的。”
剩下的补丁中,MS11-085和MS11-086被定为“重要”级别,而MS11-084为“中等”级别。
MS11-085修复了Windows Mail和Windows Meeting Space中的一个漏洞,它同样允许远程代码执行,但只是在用户访问一个不可信的远程文件系统位置并在该位置打开了一个合法文件时。
“MS11-085这样的补丁我们每个月都会看到,”Miller说道,“它只是不同软件类型中的同一个漏洞。”
MS11-086更新涉及Windows Active Directory(Windows活动目录)。如果该软件被配置为在SSL上使用LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议),且攻击者获得了一个与有效域名账户联系在一起的吊销证书,那么该漏洞将允许权限提升。活动目录没有配置在SSL上使用LDAP。
MS11-084修复了Windows内核模式驱动(Windows Kernel-Mode Drivers)中的漏洞,该漏洞可允许拒绝服务。这个漏洞需要重启,只有在一个用户故意访问不受信远程文件系统位置,且该位置包含了一个特制的TrueType字体文件,或打开作为电子邮件附件的文件时,对该漏洞的利用才会成功。