[分享] Microsoft 安全通报 Microsoft, 通报

NT狼狼

Microsoft 安全通报 (947563)Microsoft Excel 中的漏洞可能允许远程执行代码发布日期： 一月 15, 2008 | 更新日期： 一月 16, 2008

Microsoft 正在调查关于 Microsoft Office Excel 2003 Service Pack 2、Microsoft Office Excel Viewer 2003、Microsoft Office Excel 2002、Microsoft Office Excel 2000 和 Microsoft Excel 2004 for Mac 存在的漏洞的新公众报告。 此时，我们的初步调查表明，使用 Microsoft Office Excel 2007 或 Microsoft Excel 2008 for Mac 的客户或者安装了 Microsoft Office Excel 2003 Service Pack 3 的客户不受此漏洞的影响。
Microsoft 正在调查公众报告和客户影响。 完成此调查时，Microsoft 将采取适当的措施帮助保护我们的客户。 这可能包括通过我们每月的发布过程提供安全更新或提供不定期的安全更新，具体取决于客户需求。
此时，我们只知道存在尝试使用此漏洞的目标攻击。 此外，由于该问题尚未广泛地公开披露，我们认为目前风险的波及范围有限。
我们仍鼓励负责地披露漏洞。 我们相信，向供应商直接报告漏洞这一普遍接受的做法对大家最为有利。 这一做法有助于确保客户获得全面、优质的安全漏洞更新，使其在更新程序的开发阶段免受恶意攻击。
认为他们已经受到攻击的客户可以在 http://www.microsoft.com/protect/support/default.mspx 获得安全支持，应该联系其所在国家或地区的国家执法机构。 美国的客户可以使用 PC 安全热线 (1-866-PCSAFETY) 免费与客户服务和支持联系。 此外，美国的客户应该联系当地的 FBI 办事处或者向 www.ic3.gov 报告其情形。
Microsoft 仍鼓励客户按照“保护您的计算机”指导启用防火墙、应用所有软件更新，并安装防病毒和反间谍软件。 可以在下列位置找到附加信息： www.microsoft.com/protect。
减轻影响的因素：

•	不能在 Microsoft Office Excel 2003 Service Pack 3、Microsoft Office Excel 2007、Microsoft Office Excel 2007 Service Pack 1 或 Microsoft Excel 2008 for Mac 上利用此漏洞。
•	运行 Microsoft Office Excel 2003 Service Pack 2 并部署了 Microsoft Office Isolated Conversion Environment (MOICE) 的客户不受此漏洞的影响。
•	成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
•	此漏洞无法通过电子邮件自动加以利用。 用户必须打开电子邮件附件，以电子邮件为载体的攻击才会得逞。
•	在基于 Web 的攻击情形中，攻击者必须拥有一个网站，其中包含用来试图利用此漏洞的特制 Excel 文件。 另外，接受或宿主用户提供的内容的网站以及受到破坏的网站可能包含可能利用此漏洞的特制内容。 攻击者无法强迫用户访问这些网站。 相反，攻击者必须说服用户访问该网站，方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。
•	对于已安装并在使用 Office 2000 的 Office 文档打开确认工具的用户，在打开试图利用此漏洞的特制文档之前，系统将提示该用户打开、保存或取消。

NT狼狼

发布日期： 一月 8, 2008

此更新适用于当前受支持的 Windows Vista 操作系统版本。 用于改进 Windows 边栏保护的更新使得 Windows 边栏能够阻止小工具在边栏中运行。 有关安装此更新的详细信息，请参阅 Microsoft 知识库文章 943411。有关 Windows 边栏保护如何帮助阻止安装的小工具在 Windows 边栏中运行的详细信息，请参阅 Microsoft 知识库文章 941411。

文档 Six safety tips for using gadgets with Windows Vista 提供了有关安全地下载和使用小工具的指导。 MSDN 文档 Gadgets for Windows Sidebar Security 包含有关 Windows 边栏安全模型的信息。 MSDN 文档 Inspect Your Gadget 概述了构建小工具时应该遵循的安全编程最佳方案。

一般信息
概述

通报目的： 宣布可用性并阐明 Windows 边栏更新的用途。

通报状态： Microsoft 知识库文章和相关更新已经发布。

建议： 请查看引用的知识库文章，并应用适当的更新。

参考 标识
Microsoft 知识库文章
943411


此通报讨论以下软件。

相关软件
Windows Vista

Windows Vista x64 Edition


Top of section
常见问题解答

此通报的适用范围有多大？
宣布可用性并阐明 Windows 边栏保护更新的用途。

什么是小工具？
小工具是旨在为用户提供信息或实用工具的微型应用程序。 Windows Vista 对待小工具的方式与其对待所有可执行代码的方式相似。 小工具是通过 HTML 和脚本编写的，但这种 HTML 不像网页一样位于任意远程服务器上。 小工具中的 HTML 内容首先作为资源包和配置文件的一部分下载，然后从本地计算机执行。 此下载过程类似于从 Internet 下载应用程序（.exe 文件）的过程。

什么是 Windows 边栏保护？
Windows 边栏保护使得 Windows Vista 能够阻止小工具在 Windows 边栏中运行，从而帮助防止小工具中的潜在安全漏洞。

Microsoft 为什么发布此更新？
Microsoft 发布此更新是为了向 Windows 边栏提供附加安全功能。 作为缓解措施，该更新使得 Windows 边栏保护能够阻止可能容易受到攻击的小工具。

安装此更新之后，小工具是否仍将在边栏中运行？
是。 安装此更新之后，所有小工具将仍在边栏中运行。 此更新不会阻止任何特定小工具在 Windows 边栏中运行。 此更新使得 Windows 边栏能够帮助防止小工具中未来的潜在安全漏洞。

这是否是一个需要 Microsoft 发布安全更新的安全漏洞？
否。 此更新会为 Windows 边栏增加功能，但不涉及边栏或可用小工具中当前存在的安全漏洞。

Microsoft 将在 Windows Update 网站上如何列出此更新？  
Windows 边栏保护更新是 Windows Update 网站上的高优先级更新。 在 Windows Update 站点上，它将列在“高优先级”更新类别中，供那些还没有接收到更新但正在运行上述软件的客户适用。

即使我已经将我的 Windows 操作系统保持为最新，我是否仍需要安装此更新？
是。 此更新不能解决任何严重安全漏洞，但此更新可以增强 Windows 边栏的可靠性和恢复能力。

此更新是否将通过自动更新分发？
是，此更新通过自动更新分发到以上列出的软件。

Top of section
建议措施

阅读与此通报相关联的 Microsoft 知识库文章

我们鼓励运行 Windows Vista 操作系统的客户安装此更新。 客户如有兴趣了解有关 Windows 边栏保护的详细信息，请阅读 Microsoft 知识库文章 943411。

Top of section
资源：

• 您可以通过访问以下网站并填写网站上的表单提供反馈。

• 美国和加拿大的客户可以从 Microsoft 产品支持服务获得技术支持。 有关可用支持选项的详细信息，请参阅 Microsoft 帮助和支持网站。

• 其他国家（或地区）的用户可从当地的 Microsoft 分公司获得支持。 有关如何就国际支持问题与 Microsoft 取得联系方面的详细信息，请访问国际支持网站。

• Microsoft TechNet 安全网站提供了有关 Microsoft 产品安全的详细信息。


免责声明：

本通报中提供的信息“按原样”提供，没有任何形式的担保。 Microsoft 不作任何明示或暗示保证，包括对适销性和针对特定目的的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害（包括直接的、间接的、偶然的、必然的损害，商业利润损失，或特殊损害）承担任何责任，即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。 有些州不允许排除或限制必然或偶然损害的赔偿责任，因此上述限制可能不适用。

NT狼狼

Web 代理自动发现 (WPAD) 中的漏洞可能允许信息泄露
发布日期： 十二月 3, 2007 | 更新日期： 一月 9, 2008

Microsoft 正在按照 Windows 解析主机名称（不包括完全限定的域名 (FQDN)）的方式调查漏洞的新公众报告。 漏洞影响的技术是 Web 代理自动发现 (WPAD)。 Microsoft 尚未收到任何表明此漏洞已被公开用于攻击客户的信息，此时也未发现任何客户影响。 Microsoft 正积极调查公众报告。 其域名以第三级别或更深级别的域（例如“contoso.co.us”）开头的客户或者以下缓解因素不适用的客户均受此漏洞威胁。

完成此调查时，Microsoft 将采取适当的措施帮助保护我们的客户。 这可能包括通过我们每月的发布过程提供安全更新或提供不定期的安全更新，具体取决于客户需求。

减轻影响的因素：

• 其系统没有配置主要 DNS 后缀的客户不受此漏洞的影响。 在大多数情况下，不属于域成员的家庭用户没有配置主要 DNS 后缀。 连接特定的 DNS 后缀可能由一些 Internet 服务提供商提供 (ISP)，这些配置不受此漏洞的影响。

• 其 DNS 域名注册为顶级域 (TLD) 下的次级域 (SLD) 的客户不受此漏洞的影响。 其 DNS 后缀反映此注册的客户不受此漏洞的影响。 不受影响的客户示例是 contoso.com 或 fabrikam.gov，其中“contoso”和“fabrikam”是指客户在各自的“.com”和“.gov”TLD 下面注册的 SLD。

• 通过 DHCP 服务器设置或 DNS 指定了代理服务器的客户不受此漏洞的影响。

• 其组织中拥有受信任的 WPAD 服务器的客户不受此漏洞的影响。 （有关在 WPAD 服务器上创建 WPAD.DAT 文件的特定步骤，请参阅“变通办法”部分。）

• 在 Internet Explorer 中手动指定了代理服务器的客户在使用 Internet Explorer 时不受此漏洞威胁。

• 在 Internet Explorer 中禁用了“自动检测设置”的客户在使用 Internet Explorer 时不受此漏洞威胁。


一般信息
概述

通报目的： 向客户提供已公开披露漏洞的初始通知、缓解措施和变通办法。 有关详细信息，请参阅安全通报的“建议措施”部分。

通报状态： 正在调查中

建议： 查看建议措施并根据需要进行配置。

参考 标识
CVE 参考
CVE-2007-5355

Microsoft 知识库文章
945713


此通报讨论以下软件。

相关软件
Microsoft Windows 2000 Service Pack 4

Windows XP Service Pack 2

Windows XP Professional x64 Edition 和 Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 1 和 Windows Server 2003 Service Pack 2

Windows Server 2003 SP1（用于基于 Itanium 的系统）以及 Windows Server 2003 SP2（用于基于 Itanium 的系统）

Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2

Windows Vista

Windows Vista x64 Edition

Microsoft Windows 2000 Service Pack 4 上的 Internet Explorer 5.01 Service Pack 4

Microsoft Windows 2000 Service Pack 4 上的 Internet Explorer 6 Service Pack 1

Windows XP Service Pack 2 的 Internet Explorer 6

用于 Windows Server 2003 Service Pack 1 和 Windows Server 2003 Service Pack 2 的 Internet Explorer 6

用于 Windows Server 2003 SP1（用于基于 Itanium 的系统）和 Windows Server 2003 SP2（用于基于 Itanium 的系统）的 Internet Explorer 6

用于 Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2 的 Internet Explorer 6

用于 Windows XP Service Pack 2 的 Internet Explorer 7

Windows Server 2003 Service Pack 1 和 Windows Server 2003 Service Pack 2 的 Internet Explorer 7

用于 Windows Server 2003 SP1（用于基于 Itanium 的系统）和 Windows Server 2003 SP2（用于基于 Itanium 的系统）的 Internet Explorer 7

用于 Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2 的 Internet Explorer 7

Windows Vista 的 Internet Explorer 7

Windows Vista x64 Edition 的 Internet Explorer 7


Top of section
常见问题解答

此通报的适用范围有多大？
Microsoft 获悉影响 Microsoft Windows 功能 Web 代理自动发现 (WPAD) 的新漏洞报告。 此漏洞影响“概述”部分列出的软件。

此通报中使用的术语意味着什么？
为了更好地解释漏洞的性质，通报中使用了下列关键术语的简要定义：

顶级域 (TLD)： Internet 域名的最后一部分。 这些是紧跟在任何命名的最后一个圆点之后的字母。 例如，在域名中 wpad.western.corp.contoso.co.us，TLD 是“.us”。 TLD 主要分为两种类型： 国家/地区代码和通用。 国家/地区代码 TLD 是指每个国家/地区的两个字母缩写。 在此示例中，.us 代表美国。 通用 TLD 是指更传统的、可识别的三个（或者更多）字母缩写，例如 .com、.net、.org 等。 对于所有可用 TLD 的完整列表，请参阅 IANA 上的以下列表。

次级域 (SLD)： 直接位于 TLD“之下”或左侧的域。 在上例 wpad.western.corp.contoso.co.us 中，SLD 是“.co”。 SLD 最常见的注册是国家/地区 TLD 之下。 美国对于美国州注册主要使用 SLD，例如对于科罗拉多州使用“.co.us”。 非美国 SLD 经常重复使用常见 TLD 名称，例如“.com.sg”。

此功能有何作用？
Web 代理自动发现 (WPAD) 功能使 Web 客户端能够自动检测代理设置，无需用户干预。 WPAD 功能预先考虑主机名称“wpad”直到完全限定的域名，并且逐渐删除子域名，直到其找到应答域名的 WPAD 服务器。 例如，域 western.corp.contoso.co.us 中的 Web 客户端将查询 wpad.western.corp.contoso.co.us、wpad.corp.contoso.co.us，然后再查询 wpad.contoso.co.us。此过程被称为“传递”。 有关 DNS 客户端服务和传递的其他信息，请参阅下列 MSDN 文章 的“单标签、不限定的域名的名称解析”部分。

造成此威胁的原因是什么？
恶意用户可能宿主 WPAD 服务器，并可能将其建立为代理服务器来针对其域注册为次级域 (SLD) 的子域的客户执行中间人攻击。 对于配置了主要 DNS 后缀的客户，Windows 中的 DNS 解析程序将使用 DNS 后缀中的每个子域尝试解析不限定的主机名称“wpad”，直到到达次级域。 例如，如果 DNS 后缀是 corp.contoso.co.us，并且尝试解析了不限定的主机名称 wpad，则 DNS 解析程序将尝试 wpad.corp.contoso.co.us。 如果没有找到，则它将通过 DNS 传递尝试解析 wpad.contoso.co.us。如果没有找到，则它将尝试解析位于 contoso.co.us 域外部的 wpad.co.us。

Top of section
建议措施

变通办法

Microsoft 已测试以下变通办法。 尽管这些变通办法不能从根本上消除此漏洞，但它们有助于阻止已知的攻击媒介。 如果某种变通办法导致功能下降，下一节中将进行说明。

在您的组织中名为 WPAD 的主机上创建代理自动配置文件 WPAD.DAT 以将 Web 浏览器定向到您组织的代理

要创建代理自动配置文件 WPAD.DAT，请执行下列步骤：

1.
遵循代理自动配置规范创建 WPAD.DAT 文件。 有关代理自动配置 (PAC) 文件（包括示例文件）的详细信息，请参阅下列 MSDN 文章。

2.
将 WPAD.DAT 文件放入您所在组织的 Web 服务器的根目录中，并确保可以匿名请求文件。

3.
在 Web 服务器“application/x-ns-proxy-autoconfig”上创建 WPAD.DAT 文件的 MIME 类型。

4.
在您所在组织的 DHCP 或 DNS 服务器上创建合适的条目，以允许发现 WPAD 服务器。


变通办法的影响： 无

Top of section
禁用 Internet Explorer 中的自动检测设置

要禁用 Internet Explorer 中的“自动检测”设置，请执行下列步骤：

1.
启动 Internet Explorer。

2.
在“工具”菜单上，选择“Internet 选项”。

3.
在“连接”选项卡上，单击“局域网设置”。

4.
清除“局域网 (LAN) 设置”页面上的“自动检测设置”。


变通办法的影响： Internet Explorer 将不再自动检测代理设置。

Top of section
禁用 DNS 传递

要禁用自动 DNS 传递，请将下列内容保存到扩展名为 .REG 的文件，然后从提升的或管理命令提示符处运行 regedit.exe /s <文件名>：

注意 有关 UseDomainNameDevolution 注册表值的详细信息，请参阅 UseDomainNameDevolution。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
"UseDomainNameDevolution"=dword:00000000

要使更改生效，必须停止然后重新启动 DNS 客户端服务。 可以使用下列命令从提升的或管理命令提示符处完成操作：

net stop dnscache & net start dnscache

变通办法的影响： DNS 解析程序不会执行相传，可能破坏任何应用程序或者依赖此行为的配置。 执行其自己的传递方式的应用程序不受此设置的影响。

Top of section
配置域后缀搜索列表

要创建域后缀搜索列表，请将下列内容保存为扩展名为 .REG 的文件，然后从提升的或管理命令提示符处运行 regedit.exe /s <文件名>：

Windows Registry Editor Version 5.00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"SearchList"=<域特定搜索列表>

注意 Windows Server 2003 包括通过组策略分发域后缀搜索列表的功能。 有关详细信息，请参阅 Microsoft 知识库文章 294785 的“DNS 后缀搜索列表”部分。

变通办法的影响： 如果在客户端系统上配置了域后缀搜索列表，则仅该搜索列表用于 DNS 查询。 而不使用主要 DNS 后缀和任何连接特定的 DNS 后缀。 DNS 解析程序不会执行相传，可能破坏任何应用程序或者依赖此行为的配置。