微軟全球通告MPEG視頻漏洞 承認(rèn)已受到攻擊
【51CTO.com 綜合消息】7月7日凌晨1點(美國當(dāng)?shù)貢r間7月6日10點),微軟公司向全球用戶發(fā)布了最新的安全通告(Security Advisory 972890),證實了Windows XP、Windows Server2003系統(tǒng)的視頻控件(Microsoft Video ActiveX Control)中存在一個漏洞(360安全中心命名為“MPEG-2視頻”0day漏洞)。利用該漏洞,黑客可在用戶使用IE瀏覽器時,無需用戶做任何操作就能獲得對用戶電腦的本地控制權(quán)。微軟聲稱,互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)針對這一漏洞的攻擊。
微軟在通告中表示,目前尚未發(fā)現(xiàn)針對該視頻控件全部類標(biāo)識的惡意利用,但建議Windows XP和Windows Server 2003的用戶取消IE瀏覽器對所列類標(biāo)識的支持。雖然Vista和Windows 2008用戶不受該漏洞的影響,但微軟亦建議這些用戶取消對該控件的支持。用戶可通過手工設(shè)置注冊表的方式,來禁止IE瀏覽器中運(yùn)行視頻控件。
微軟在通告中聲稱,目前正全力研制漏洞補(bǔ)丁,但并未透露發(fā)布安全補(bǔ)丁的具體日期。據(jù)360安全專家介紹,“MPEG-2視頻”0day漏洞是360安全中心在7月4日通過惡意網(wǎng)頁監(jiān)控系統(tǒng)發(fā)現(xiàn)的。
360安全專家透露說,微軟在給360安全中心的反饋郵件中,就360安全中心第一時間向微軟公司通報該漏洞的詳細(xì)信息表示感謝,并表示期待今后能與360安全中心在安全領(lǐng)域保持更良好的長期合作關(guān)系。
據(jù)悉,該漏洞由DirectShow視頻開發(fā)包的相關(guān)組件產(chǎn)生,與今年5月曝出的“DirectShow視頻開發(fā)包”0day漏洞屬于同一類型,極易被黑客利用進(jìn)行“網(wǎng)頁掛馬”攻擊,使訪問者的電腦自動下載安裝任意木馬程序。360安全專家表示,打開360安全衛(wèi)士的網(wǎng)頁防火墻功能,能有效攔截此類惡意網(wǎng)頁,避免用戶因無意中點擊而被“中招”。
來自360安全中心的監(jiān)控數(shù)據(jù)稱,截至7月6日24時,至少有3494家網(wǎng)站被“掛馬”,相應(yīng)“掛馬網(wǎng)頁”數(shù)高達(dá)44136個。360安全衛(wèi)士已為用戶攔截了3560483次“掛馬”攻擊。這意味著,已經(jīng)數(shù)百萬用戶受到攻擊。#p#
附1:微軟安全通告鏈接
http://www.microsoft.com/technet/security/advisory/972890.mspx
附2:微軟安全通告972890內(nèi)容部分譯文,僅供參考
微軟確認(rèn)附件所列的類標(biāo)識為msvidctl.dll中此AciveX控件所有的類標(biāo)識,目前未有針對此控件所有類標(biāo)識的設(shè)計利用。對于windows xp和Windows 2003的用戶,微軟建議用戶對IE取消針對所列類標(biāo)識的支持。對于Vista和Windows 2008用戶,雖然不受影響但作為深度防御的手段,微軟亦推薦用戶取消對此控件的支持。
用戶可通過手工設(shè)置注冊表中此控件的kill bit來禁止此COM對象的實例化,從而達(dá)到防止IE中運(yùn)行此控件的目的。這種手工的方式禁止IE中運(yùn)行微軟視頻控件,不會影響應(yīng)用軟件的兼容性。
替換下表所列類標(biāo)識{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
對值為{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}的類標(biāo)識設(shè)置kill bit, 請粘貼下列文字到類似Notepad的文本編輯器。然后保存為擴(kuò)展名為.reg的文件:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}]"Compatibility Flags"=dword:00000400 |
雙擊此.reg文件即可應(yīng)用此修改到單個系統(tǒng)。企業(yè)用戶可使用組策略跨域?qū)嵤?/P>
類標(biāo)識 {011B3619-FE63-4814-8A84-15A194CE9CE3}{0149EEDF-D08F-4142-8D73-D23903D21E90}{0369B4E5-45B6-11D3-B650-00C04F79498E}{0369B4E6-45B6-11D3-B650-00C04F79498E}{055CB2D7-2969-45CD-914B-76890722F112}{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}{15D6504A-5494-499C-886C-973C9E53B9F1}{1BE49F30-0E1B-11D3-9D8E-00C04F72D980}{1C15D484-911D-11D2-B632-00C04F79498E}{1DF7D126-4050-47F0-A7CF-4C4CA9241333}{2C63E4EB-4CEA-41B8-919C-E947EA19A77C}{334125C0-77E5-11D3-B653-00C04F79498E}{37B0353C-A4C8-11D2-B634-00C04F79498E}{37B03543-A4C8-11D2-B634-00C04F79498E}{37B03544-A4C8-11D2-B634-00C04F79498E}{418008F3-CF67-4668-9628-10DC52BE1D08}{4A5869CF-929D-4040-AE03-FCAFC5B9CD42}{577FAA18-4518-445E-8F70-1473F8CF4BA4}{59DC47A8-116C-11D3-9D8E-00C04F72D980}{7F9CB14D-48E4-43B6-9346-1AEBC39C64D3}{823535A0-0318-11D3-9D8E-00C04F72D980}{8872FF1B-98FA-4D7A-8D93-C9F1055F85BB}{8A674B4C-1F63-11D3-B64C-00C04F79498E}{8A674B4D-1F63-11D3-B64C-00C04F79498E}{9CD64701-BDF3-4D14-8E03-F12983D86664}{9E77AAC4-35E5-42A1-BDC2-8F3FF399847C}{A1A2B1C4-0E3A-11D3-9D8E-00C04F72D980}{A2E3074E-6C3D-11D3-B653-00C04F79498E}{A2E30750-6C3D-11D3-B653-00C04F79498E}{A8DCF3D5-0780-4EF4-8A83-2CFFAACB8ACE}{AD8E510D-217F-409B-8076-29C5E73B98E8}{B0EDF163-910A-11D2-B632-00C04F79498E}{B64016F3-C9A2-4066-96F0-BD9563314726}{BB530C63-D9DF-4B49-9439-63453962E598}{C531D9FD-9685-4028-8B68-6E1232079F1E}{C5702CCC-9B79-11D3-B654-00C04F79498E}{C5702CCD-9B79-11D3-B654-00C04F79498E}{C5702CCE-9B79-11D3-B654-00C04F79498E}{C5702CCF-9B79-11D3-B654-00C04F79498E}{C5702CD0-9B79-11D3-B654-00C04F79498E}{C6B14B32-76AA-4A86-A7AC-5C79AAF58DA7}{CAAFDD83-CEFC-4E3D-BA03-175F17A24F91}{D02AAC50-027E-11D3-9D8E-00C04F72D980}{F9769A06-7ACA-4E39-9CFB-97BB35F0E77E}{FA7C375B-66A7-4280-879D-FD459C84BB02} |
緩解因素:
◆使用Vista和Windows2008服務(wù)器版本的用戶不受影響是因為在這兩個操作系統(tǒng)中傳遞數(shù)據(jù)給IE的這個控件是被限制的。
◆IE在windows2003和Windows2008下缺省以受限模式運(yùn)行。此模式稱為“增強(qiáng)安全配置”,其實質(zhì)是為IE定制了一組設(shè)置來降低用戶或管理員下載運(yùn)行服務(wù)器上的一段特定內(nèi)容。這對于未加入IE可信網(wǎng)站區(qū)的網(wǎng)站來說是一種有效的降低風(fēng)險的手段。
◆缺省狀況下,所有MS Outlook和OutlookExpress在限制網(wǎng)站區(qū)打開HTML格式的郵件。限制網(wǎng)站區(qū)的功能禁止Active Scripting和ActiveX控件,這樣就降低了此漏洞被利用的風(fēng)險。但是雙擊郵件中的鏈接仍然會暴露在此漏洞攻擊下。
◆在網(wǎng)頁攻擊的情形,攻擊者通常需要架設(shè)一個網(wǎng)站,設(shè)計能利用此漏洞的網(wǎng)頁并誘使用戶點擊。通常攻擊者會將此鏈接置于郵件或聊天信息中來誘使用戶點擊。但是攻擊者是無法直接迫使用戶點擊鏈接的。
◆即使攻擊者成功利用漏洞獲得本地用戶的權(quán)限,仍然可以通過限制本地用戶的權(quán)限來控制受到的影響。#p#
附3:部分“掛馬”網(wǎng)站與“掛馬網(wǎng)址”(注:為保護(hù)用戶,鏈接已作特殊處理。360安全衛(wèi)士用戶開啟網(wǎng)頁防火墻后不受此“掛馬網(wǎng)頁”影響)
37度醫(yī)學(xué)網(wǎng):
掛馬網(wǎng)址:hxxp://www.37c.com.cn/doctor/lcsj/xyzl.asp?ID=14972
手機(jī)門戶捉魚網(wǎng):
掛馬網(wǎng)址:hxxp://club.joyes.com/announce/announce.aspx?BoardID=813&ID=21417171
金地集團(tuán)
掛馬網(wǎng)址:hxxp://zy.gemdale.com/HR.asp
中國軍網(wǎng)
掛馬網(wǎng)址:hxxp://blog.chinamil.com.cn/user1/97wen/index.html
中國佛教網(wǎng)
掛馬網(wǎng)址:hxxp://www.cnbuddhism.com/
西安電子科技大學(xué)
掛馬網(wǎng)址:hxxp://zsb.xidian.edu.cn/baosong/index.asp
中國社會科學(xué)院
掛馬網(wǎng)址:hxxp://www.cass.net.cn/file/20081030202662.html
中國政府采購招標(biāo)網(wǎng)
掛馬網(wǎng)址:hxxp://www.chinabidding.org.cn/B2bInfoDetails.aspx?bid=425
中國機(jī)電網(wǎng)
掛馬網(wǎng)址:hxxp://www.djwxw.com/chinamotor/pro_content_2.asp?id=34615
京東方網(wǎng)
掛馬網(wǎng)址:hxxp://www.boe.com.cn/Joinjdf/Accession/rsggnry.asp?id=74
冶金自動化研究設(shè)計院
掛馬網(wǎng)址:hxxp://www.arim.com/ContentDetail.aspx?cid=358
古城熱線
掛馬網(wǎng)址:hxxp://wed.xaonline.com/ypnew_view.asp?id=3696
貴州信息港
掛馬網(wǎng)址:hxxp://house.gz163.cn/secondhand/secondhand_detail.aspx?bhid=425448
《讀者》雜志官方網(wǎng)站
掛馬網(wǎng)址:hxxp://www.duzhe.com/common/right_dz.htm
中國飼料行業(yè)信息網(wǎng)
掛馬網(wǎng)址:hxxp://business.feedtrade.com.cn/sca_tlist.asp?scasort=3
中國新能源網(wǎng)
掛馬網(wǎng)址:hxxp://www.newenergy.org.cn/html/0096/6190928087.html
孟州地稅網(wǎng)
掛馬網(wǎng)址:hxxp://www.mzds.gov.cn
紅星美凱龍官網(wǎng)
掛馬網(wǎng)址:
hxxp://www.chinaredstar.com/knowledge_show.asp?aboutus_menu_id=3&news_id=637
云南地產(chǎn)門戶網(wǎng)站
掛馬網(wǎng)址:hxxp://www.ynlsw.cn/default3_1.asp
鐵道兵網(wǎng)
掛馬網(wǎng)址(首頁):hxxp://www.cntdb.com/
天天營養(yǎng)網(wǎng)
掛馬網(wǎng)址:hxxp://yys.51ttyy.com/pingce/ceshi/19.html
中國食品展會網(wǎng)
掛馬網(wǎng)址:hxxp://www.foodexpo.cn/corp/
中視音像
掛馬網(wǎng)址:hxxp://www.szcctv.net/product_class.asp?ClassID=4
