微软安全公告 MS02-052 (MS,补丁)
涉及程序:
微软虚拟机(Microsoft VM)
描述:
微软虚拟机(Microsoft VM)的三个安全缺陷
详细:
Microsoft VM(微软虚拟机,Microsoft VM)应用于 Windows 95,Windows 98,Windows 98 Second Edition,Windows Millennium Edition,Windows NT 4.0,Windows 2000,和 Windows XP 中,以及 IE 6.0 及其更早版本中。
微软虚拟机(Microsoft VM)中最近被发现三个安全缺陷。两个是与 JDBC/ODBC 类相关的缺陷。这些类提供了统一的从Java编程语言存取数据的方法。根据设计,允许开发人员虚拟地访问任何数据源,例如:关系数据库,电子数据表格,文本文档。
利用第一个缺陷(CVE-CAN-2002-0866),攻击者可以通过向 JDBC 类传递无效的参数使一个宿主应用程序(例如 Internet Explorer )崩溃。为了达到这个目的,攻击者需要在网站上拥有一个恶意的 Java applet 并引诱用户访问这个站点。
利用第二个缺陷(CVE-CAN-2002-0867),恶意的用户可以在用户机器上装载一个任意的 DLL,这个 DLL 可以在宿主进程的上下文中执行任意的本机代码,并潜在地破坏或者读取在内存中的数据。和第一个缺陷一样,宿主进程有可能就是 Internet Explorer。攻击者可创建一个恶意的 Java applet ,由它来调用 JDBC 类并传递一个不正确的参数串。同样的,为了达到这个目的,攻击者必须要在网站拥有一个恶意的 Java applet 并诱使用户访问这个站点。
com.ms.osp 是一个包含在 Internet Explorer 和 Microsoft VM 中的组件,这个组件被 Java 用来作内部处理。com.ms.osp 包暴露了一些不安全的本机方法(CVE-CAN-2002-0865),这些方法允许对任意的内存地址进行读取和写入。一个恶意的 applet 可以调用一个来自 IE 的 java 类,使用这些方法在宿主进程的上下文中执行任意的本机代码。再次指出,这个宿主进程极可能就是 Internet Explorer。
利用以上讨论的三个缺陷,恶意用户可以创建一个 Java applet,把它放在一个网站上,并诱使用户访问这个站点。电子邮件攻击需要 Java applets被启用。
要想利用这三个安全缺陷进行一次基于 Web 的攻击,攻击者需要诱使用户访问一个由攻击者控制的网站。这三个缺陷本身并不能迫使用户访问网站。
在受限站点区域,Java applets 是无效的。因此,任何在受限站点区域打开 HTML 电子邮件的邮件客户端,例如应用了Outlook 电子邮件安全更新的 Outlook 2002,Outlook Express 6 或者 Outlook 98 / 2000,将不会有受到电子邮件攻击的危险。
这些安全只能得到用户的权限,因此,使用小于管理员权限进行操作的用户,将减小由这三个安全缺陷带来的风险。
公司的 IT 管理员应该通过在防火墙使用应用程序过滤器监测、阻挡可变的代码,从而减小带给他们客户的风险。
受影响的软件:
Microsoft Windows XP
Microsoft Windows Millennium Edition
Microsoft Windows 2000
Microsoft Windows NT 4.0
Microsoft Windows 98 Second Edition
Microsoft Windows 98
攻击方法:
暂无有效攻击代码
解决方案:
升级 Microsoft VM 到最新版本:
http://windowsupdate.microsoft.com/
附加信息:
CVE-CAN-2002-0866
CVE-CAN-2002-0867
CVE-CAN-2002-0865