正如预期的那样,微软在本周二发布了9项安全补丁,其中三项用于修补该软件巨头的流媒体软件组件漏洞。这些补丁广泛适用于IE浏览器和其他主要的操作系统组件。
其中最重要的升级是修补在IE中COM组件事例中内存丢失的漏洞。微软计划于上个月发布此项升级,但是在即将发布时决定暂缓推出,进行更多的测试。
该项升级适用的Windows操作系统可以追溯到Windows 98,防止入侵者通过恶意网页进行远程控制,并防止他们操纵IE浏览器的示例COM组件的方式,使其背离原先的使用目的。
Windows Directshow应用中会产生未经验证的缓冲区,另一个升级修正了这种情况,用于在有或没有视频和音频加速优化的微软Windows系统上进行捕捉和查看流媒体。这项修改也被整合于DirectX 技术,同时可以用于DVD播放器,MP3播放器,数字视频捕捉软件和其他流行的媒体下载工具。
如果这种未验证的缓冲区被利用,攻击者可远程控制系统并且安装应用程序,拥有修改或删除数据及创建新的账户的所有权限,该漏洞的目标多为下列工作站或台式机:
运行DirectX 8.1的系统,操作系统是微软Windows XP,Service Pack1
运行DirectX 7.0的系统,操作系统是Windows 2000,Service Pack 4
运行DirectX 7.0的系统,操作系统是微软Windows XP,Service Pack 2,和64位的 Windows XP 专业版,安装或未安装Service Pack1的Windows Server 2003,以及一些版本比较老的操作系统,比如:Windows 98,Windows 98第二版,及Widnows ME。
DirectShow将信息传送到分配的缓冲区前,需要验证信息的长度,该项升级通过修改DirectShow验证信息长度的方式,解决原有的弱点。
第三个重要的补丁解决Microsoft Distributed Transaction Coordinator (MSDTC)服务和COM+服务的漏洞,防止黑客进行远程控制和增加权限。另外,该补丁修补TIP的主要(非关键的)漏洞。
受影响的操作系统版本有Windows XP SP1和SP2,以及多种版本的Windows Server 2003。“这些补丁解决了一些关键的客户端漏洞,黑客可利用这些漏洞安装恶意软件或其他潜在的安全漏洞,如安装于最终用户的木马软件和广告软件,”Oliver Friedrichs说, 赛门铁克安全响应中心的高级经理在一份声明中表示,“赛门铁克推荐用户尽快安装这些升级,并避免打开不明附件或点击通过邮件或即时信息传递的可疑链接。”
