微軟1月13日宣布,大多數(shù)Windows系統(tǒng)中在默認(rèn)條件下都包含的程序“MDAC(微軟數(shù)據(jù)訪問組件)”中存在安全漏洞。如果有人向用戶的機器發(fā)送做過手腳的數(shù)據(jù)包,就會在機器上運行任意程序。雖然是可從遠(yuǎn)程進(jìn)行攻擊的安全漏洞,但無法通過互聯(lián)網(wǎng)或不同的子網(wǎng)(廣播無法到達(dá)的網(wǎng)絡(luò))進(jìn)行攻擊。因此危害程度被定為第二嚴(yán)重的“重要”。對策是使用補丁,可通過“Windows Update”與安全信息的網(wǎng)頁安裝補丁。
存在上述漏洞的MDAC版本為2.5/2.6/2.7/2.8.微軟的技術(shù)支持信息中詳細(xì)記載了確認(rèn)當(dāng)前安裝的MDAC版本的方法。如果使用Windows Update,先檢查安裝的MDAC版本,然后再根據(jù)需要自動安裝補丁。
MDAC是用于訪問遠(yuǎn)程或本地數(shù)據(jù)庫的程序組件群。Windows Me/2000/XP/Server 2003在默認(rèn)條件下都包含這一組件群。Windows NT 4.0 Option Pack、SQL Server 2000、Microsoft Access等應(yīng)用軟件中也含有這一組件群,因此基本上所有的Windows系統(tǒng)都會受到這一安全漏洞的影響。
此次在MDAC中發(fā)現(xiàn)的安全漏洞為緩沖區(qū)溢出安全漏洞。如果做過手腳的數(shù)據(jù)包冒充為尋找網(wǎng)絡(luò)上SQL Server而發(fā)送的廣播請求的響應(yīng),再發(fā)送給用戶的話,包括MDAC的特定程序組件就會引起緩沖區(qū)溢出,從而在用戶的機器上運行任意程序。任意程序以發(fā)送廣播請求的應(yīng)用權(quán)限運行。
如果僅僅是發(fā)送做過手腳的數(shù)據(jù)包,是不會運行任意程序的。只要像上文所述那樣,冒充廣播請求的響應(yīng)發(fā)送給用戶時,才可能運行任意程序。除攻擊者與攻擊對象機器必須處于同一網(wǎng)絡(luò)(子網(wǎng))之外,還必須冒充SQL Server等待廣播請求。
對策是安裝補丁。運行Windows Update可以安裝補丁,還可以通過安全信息的網(wǎng)頁。補丁適用于MDAC 2.5 Service Pack 2(SP2)/2.5 SP3/2.6 SP2/2.7/2.7 SP1/2.8.此次公開的補丁中,包括過去公開的“MS03-033”補丁。
無法安裝補丁的系統(tǒng)中,只要攔截發(fā)往UDP 1434端口的入站通信量的收信,就可以避免受到安全漏洞的影響。微軟公開的安全信息中詳細(xì)記載了具體的設(shè)置方法與實施回避措施帶來的副作用。
ISA Server 2000與Exchange Server 2003中也存在安全漏洞
當(dāng)天,微軟還分別公開了在該公司服務(wù)器軟件“Internet Security and Acceleration Server 2000(ISA Server 2000)”及“Exchange Server 2003”中發(fā)現(xiàn)的安全漏洞。
ISA Server 2000中發(fā)現(xiàn)的安全漏洞的危害程度被定為最嚴(yán)重的“緊急”。如果用戶被發(fā)送做過手腳的數(shù)據(jù),就會引起緩沖區(qū)溢出,從而在ISA Server機器上運行任意程序。包括ISA Server 2000的Small Business Server 2000/2003也同樣會受到影響。這些機器的管理員必須迅速安裝補丁。補丁可以從安全信息的網(wǎng)頁。
Exchange Server 2003中的安全漏洞的危害程序為倒數(shù)第二輕的(第三嚴(yán)重)的“警告”。如果突破安全漏洞,使用Outlook Web Access (OWA) for Exchange Server 2003訪問郵箱的用戶,可以訪問其他用戶的郵箱。
不過,只有Exchange 2003前端服務(wù)器與Exchange 2003后端服務(wù)器之間使用NTLM認(rèn)證的情況下才會受到影響。由于在默認(rèn)狀態(tài)下使用Kerberos進(jìn)行認(rèn)證,因此不會受到影響。另外,Exchange 2000 Server與Exchange Server 5.5也不受影響。
對策是安裝補丁,補丁可以從安全信息的網(wǎng)頁。Exchange 2003的管理員必須在參考安全信息與“常見問題”的基礎(chǔ)上,根據(jù)需要采取措施。
