微軟已發(fā)布7個安全公告，包括1個“嚴(yán)重（危機(jī)）”級別的公告，它修補(bǔ)了一個嚴(yán)重的Windows Media Player缺陷，該缺陷可被用在危險的路過式（drive-by）web站點(diǎn)攻擊中。

微軟在2012年1月的補(bǔ)丁星期二中共修補(bǔ)了8個漏洞。該更新還解決了已被公共曝光的SSL/TLS實(shí)現(xiàn)漏洞。該SSL/TLS協(xié)議弱點(diǎn)能讓攻擊者使用SSL3.0和TLS1.0版本協(xié)議攔截加密的Web服務(wù)器流量。

Windows Media缺陷影響Windows Media Player、Microsoft Windows Media庫以及微軟的 DirectShow組件。微軟在它的MS12-04安全公告中表示，該應(yīng)用程序接口（API）設(shè)計用來在Windows中啟用流媒體。

攻擊者通過誘使人們用Windows Media Player運(yùn)行一個惡意的MIDI文件來利用該缺陷。微軟表示，該漏洞可能用在路過式攻擊中，或者是通過即時消息或作為郵件附件來發(fā)送。任何惡意的媒體文件可能被用來利用該DirectShow錯誤，在DirectShow解析媒體文件的方式中存在的弱點(diǎn)，但是用戶不得不禁用字幕啟用選項(xiàng)。該更新文件適用于所有支持的Windows版本，包括Windows 7。該缺陷對Windows XP、Vista、Windows Server 2003及2008的用戶們來說為“嚴(yán)重”級別。

位于加利福尼亞紅木海岸的漏洞管理廠商Qualys公司的CTO Wolfgang Kandek表示，應(yīng)該給與該Windows Media Player中的MIDI缺陷最高的優(yōu)先級，因?yàn)樵撊毕莩俗鳛猷]件附件外可被攻擊者用在路過式攻擊中。

“無需用戶打開文件或是安裝解碼器，該MIDI文件即可獨(dú)自播放，所以它可能是特別嚴(yán)重的漏洞”，Kandek說道。“我認(rèn)為除了關(guān)閉字幕顯示外，在這些媒體播放器中還有很多人們必須弄明白的事情，盡管所有這些功能都非常棒，但是它們也為攻擊者打開了另一扇門”。

SSL/TLS協(xié)議的缺陷于去年9月在布宜諾斯艾利斯的Ekoparty安全大會上被曝光，該漏洞能讓攻擊者竊聽加密的會話。微軟MS12-006安全公告標(biāo)識為“重要”級別，該漏洞存在于協(xié)議自身并且不僅限于Windows操作系統(tǒng)。在這個安全大會上，獨(dú)立的安全研究員Juliano Rizzo展示了通過利用該SSL錯誤從HTTPS請求中解密，并獲得認(rèn)證令牌以及cookies文件的方法。該更新文件適用于所有支持的Windows版本。

MS12-005安全公告被評級為“重要”級別，解決了一個Windows錯誤，但是賽門鐵克安全響應(yīng)團(tuán)隊(duì)的安全智能經(jīng)理、漏洞專家Joshua Talbot說，該補(bǔ)丁應(yīng)得到額外的重視，因?yàn)樗鼙惠p易地利用。借助包含惡意嵌入ClickOnce應(yīng)用的微軟Office Word或PowerPoint文檔，這個Windows.NET中的錯誤可被遠(yuǎn)程利用。ClickOnce指基于Windows平臺的能自我更新的應(yīng)用，這些應(yīng)用可以在最少的用戶交互前提下安裝并且運(yùn)行。該更新文件影響到所有支持的Windows版本，修補(bǔ)Windows Packager載入ClickOnce應(yīng)用的方式。

“該漏洞是由于忽視了一旦用戶打開了一個Word或PowerPoint文件后，攻擊者能運(yùn)行惡意軟件的情況”，Talbot在聲明中說道。“郵件附件可能會是該漏洞被利用的最常見的攻擊手法”。

該漏洞在可用性索引中評為1，意味著攻擊者能快速地開發(fā)針對該漏洞的工具。但是位于加利福尼亞帕洛阿爾托市的虛擬化廠商VMware公司的研發(fā)部經(jīng)理Jason Miller說道，攻擊者首先必須學(xué)會如何構(gòu)建ClickOnce應(yīng)用。

“我看到他們正停留在習(xí)慣使用的跨站點(diǎn)腳本以及其它東西上”，Miller說道。“ClickOnce應(yīng)用正變得更加普遍，特別是隨著作為基于云的服務(wù)采用方式增長時，但是眼下我不認(rèn)為這是一個主要的威脅”。

其它更新都被評級為“重要”級別，包括解決了許多Windows錯誤的MS12-001，解決安全功能逃避（Security Feature Bypass）漏洞的MS12-003，該Windows錯誤能讓攻擊者獲得特權(quán)提升，而MS12-002更新影響到帶有嵌入打包對象的合法文件在Windows系統(tǒng)中的運(yùn)行。

【編輯推薦】

1. 微軟成功上位“云計算管理平臺首選品牌”
2. CES 2012：諾基亞微軟欲憑 Lumia 900 重返美國市場
3. 微軟：iPhone迫使我們重新設(shè)計移動OS
4. 微軟前技術(shù)專家談大企業(yè)的三大管理問題
5. 微軟技術(shù)中心架構(gòu)師楊飛談：數(shù)據(jù)中心變革對云計算的價值