Microsoft 安全公告 MS08-029 - 警告

Microsoft 恶意软件保护引擎中的漏洞可能允许拒绝服务(952044)

发布时间: 2008年5月13日

版本: 1.0

一般信息

摘要

此安全更新可解决 Microsoft 恶意软件保护引擎中两个秘密报告的漏洞。 攻击者可以通过建立特制文件来利用任何一个漏洞,当目标计算机系统接收或 Microsoft 恶意软件保护引擎扫描到此漏洞时,可能允许拒绝服务。 成功利用漏洞的攻击者可能导致 Microsoft 恶意软件保护引擎停止响应和自动重新启动。

许多 Microsoft 产品都包含 Microsoft 恶意软件保护引擎。 取决于安装的产品,此安全更新具有不同的严重等级。 对于 Windows Live OneCare、Microsoft Antigen for Exchange、Microsoft Antigen for SMTP Gateway、Microsoft Windows Defender、Microsoft Forefront Client Security、Microsoft Forefront Security for Exchange Server 和 Microsoft Forefront Security for SharePoint,此安全更新等级为“中等”。 对于位于诊断与恢复工具集 6.0 中的独立系统清理程序,此安全更新等级为“低”。有关详细信息,请参阅本节中的受影响和不受影响的软件小节。

此安全更新通过修改恶意软件保护引擎处理文件的方式来解决漏洞。 有关此漏洞的详细信息,请参阅下一节“漏洞信息”下面的“常见问题 (FAQ)”小节。

建议。 Microsoft 建议客户立即确保他们拥有最新的 Microsoft 恶意软件保护引擎更新。 受影响的软件提供自动检测和部署此更新的内部机制。

已知问题。 无

受影响和不受影响的软件

已对下列软件进行测试,以确定受到影响的版本。 其他版本的支持生命周期已结束或者不受影响。 要确定软件版本的技术支持生命周期,请访问 Microsoft 技术支持生命周期

受影响的软件

软件最大安全影响综合严重等级
Windows Live OneCare拒绝服务中等
Microsoft Antigen for Exchange 拒绝服务中等
Microsoft Antigen for SMTP Gateway 拒绝服务中等
Microsoft Windows Defender拒绝服务中等
Microsoft Forefront Client Security拒绝服务中等
Microsoft Forefront Security for Exchange Server 拒绝服务中等
Microsoft Forefront Security for SharePoint拒绝服务中等
位于诊断与恢复工具集 6.0 中的独立系统清理程序拒绝服务

注意这些受影响的产品提供自动检测和部署更新的内部机制。

什么是 Microsoft 恶意软件保护引擎?
Microsoft 恶意软件保护引擎 (mpengine.dll) 可为以下防病毒和反间谍软件客户端提供扫描、监测和清除功能。 Windows Live OneCare、Microsoft Antigen for Exchange、Microsoft Antigen for SMTP Gateway、Microsoft Windows Defender、Microsoft Forefront Client Security、Microsoft Forefront Security for Exchange Server、Microsoft Forefront Security for SharePoint 以及位于诊断与恢复工具集 6.0 中的独立系统清理程序。

使用 Microsoft 恶意软件保护引擎的 Microsoft 产品是否自动更新?
受影响的软件提供自动检测和部署此更新的内部机制。 已为 Microsoft Antivirus 客户端软件禁用 AutoUpdate 或 Microsoft Update 的用户需要重新启用 AutoUpdate,或手动更新 Microsoft Antivirus 客户端软件以接收已更新的 Microsoft 恶意软件保护引擎。 要手动更新 Microsoft Antivirus 客户端软件,用户应按照受影响软件附带的产品文档执行操作。

对于 Microsoft Antigen 和 Microsoft Forefront,Microsoft 恶意软件保护引擎可自动更新。 对从默认安装进行更改的系统,可通过管理员工具执行人工引擎更新。 如果引擎被禁用,可通过单击立即更新重新启用并立即更新。 对于更新 Microsoft Antigen Enterprise Manager 的客户,用户应该选择 Engine Update Redistribution Job 并单击 Run Now (立即运行)的引擎的客户。

Windows Defender 的 Microsoft 恶意软件保护引擎更新作为常见的 Windows Defender 签名更新过程的一部分分布。 有关如何使用 Windows Server Update Services (WSUS) 部署 Windows Defender 定义更新的详细信息,请参见 Microsoft 知识库文章 919772

Microsoft 恶意软件保护引擎的哪个版本可解决此问题?

受影响的软件引擎版本号
Windows Live OneCare1.1.3520.0
Microsoft Antigen for Exchange 0.1.13.192
Microsoft Antigen for SMTP Gateway 0.1.13.192
Microsoft Windows Defender1.1.3520.0
Microsoft Forefront Client Security1.1.3520.0
Microsoft Forefront Security for Exchange Server 0.1.13.192
Microsoft Forefront Security for SharePoint0.1.13.192
位于诊断与恢复工具集 6.0 中的独立系统清理程序1.1.3520.0

注意如果您的 Microsoft 恶意软件保护引擎版本大于或等于上述引擎版本号,您将不受此漏洞影响也不需要采取何种进一步操作。

如何检测安装的 Microsoft 恶意软件保护引擎的版本?
本公告中后面的安全更新部署部分,列出了有关如何检查安装的 Microsoft 恶意软件保护引擎版本的详细信息。

我正在使用本安全公告中讨论的软件的较旧版本。 我该怎么办?  
已对本公告中列出的受影响的软件进行测试,以确定受到影响的版本。 其他版本的支持生命周期已结束。 要确定软件版本的技术支持生命周期,请访问 Microsoft 技术支持生命周期

使用该软件的较旧版本的客户应优先考虑迁移到受支持的版本,以防止可能会受到新出现漏洞的影响。 有关 Windows 产品生命周期的详细信息,请访问 Microsoft 产品技术支持生命周期。 有关这些软件版本的延长安全更新支持周期的详细信息,请访问 Microsoft 产品支持服务

如果用户需要获得较旧版本的定制支持,则必须与其 Microsoft 客服小组代表、其技术客户经理或适当的 Microsoft 合作伙伴代表联系以了解定制支持选项。 没有联合合同、优先支持合同或授权合同的客户可与其当地的 Microsoft 销售分支机构联系。 有关联系信息,请访问 Microsoft Worldwide Information,选择所在国家/地区,然后单击“Go”以查看电话号码列表。 在拨打电话时,请找当地的“企业技术咨询支持服务”销售经理进行洽谈。 有关详细信息,请参阅 Windows 操作系统产品支持生命周期常见问题

漏洞信息

按受影响软件列出的漏洞严重等级和最大安全影响
受影响的软件Microsoft 恶意软件保护引擎漏洞 - CVE-2008-1437Microsoft 恶意软件保护引擎漏洞 - CVE-2008-1438综合严重等级
Microsoft 恶意软件保护引擎
Windows Live OneCare 中等
拒绝服务

拒绝服务
中等
Microsoft Antigen for Exchange 中等
拒绝服务
中等
拒绝服务
中等
Microsoft Antigen for SMTP Gateway 中等
拒绝服务
中等
拒绝服务
中等
Microsoft Windows Defender 中等
拒绝服务
中等
拒绝服务
中等
Microsoft Forefront Client Security 中等
拒绝服务

拒绝服务
中等
Microsoft Forefront Security for Exchange Server 中等
拒绝服务
中等
拒绝服务
中等
Microsoft Forefront Security for SharePoint 中等
拒绝服务
中等
拒绝服务
中等
位于诊断与恢复工具集 6.0 中的独立系统清理程序
拒绝服务

拒绝服务

Microsoft 恶意软件保护引擎处理特制文件的方式中存在拒绝服务漏洞。 攻击者可以通过建立特制文件来利用此漏洞,当目标计算机系统接收或 Microsoft 恶意软件保护引擎扫描到此漏洞时,可能允许拒绝服务。 成功利用此漏洞的攻击者可能导致 Microsoft 恶意软件保护引擎停止响应和自动重新启动。

要在“常见漏洞和披露”列表中以标准条目查看此漏洞,请参阅 CVE-2008-1437

Microsoft 恶意软件保护引擎漏洞 (CVE-2008-1437) 的缓解因素

Microsoft 并未发现此漏洞的任何缓解因素。

Microsoft 恶意软件保护引擎漏洞 (CVE-2008-1437) 的避免方法

变通办法是指一种设置或配置更改,它不能从根本上纠正漏洞,但有助于在应用更新之前封堵已知的攻击源。 Microsoft 已测试了以下变通方法,并在讨论中指明了变通方法是否会降低功能性:

  • 在同一系统上,Microsoft Forefront Security for Exchange Server、Microsoft Forefront Security for SharePoint 和 Microsoft Antigen 除了支持 Microsoft 恶意软件保护引擎外还支持多种引擎。 如果受影响系统上有多个引擎可用,管理员可以禁用恶意软件保护引擎作为变通,直到可以更新 Microsoft 恶意软件保护引擎。 禁用 Microsoft 恶意软件保护引擎之前,管理员应确保已为任何第三方防病毒引擎安装最新的病毒签名。
  • 我们并未发现 Windows Live OneCare、Microsoft Windows Defender 和 Microsoft Forefront Client Security 的任何变通办法。

Microsoft 恶意软件保护引擎漏洞 (CVE-2008-1437) 的常见问题解答

此漏洞的影响范围有多大?  
Microsoft 恶意软件保护引擎分析文件的方式中存在拒绝服务漏洞。 攻击者可以通过建立特制文件来利用此漏洞,当目标计算机系统接收或 Microsoft 恶意软件保护引擎扫描到此漏洞时,可能允许拒绝服务。

造成漏洞的原因是什么?  
Microsoft 恶意软件保护引擎在分析特制文件时没有正确地对此输入进行验证。

攻击者可能利用此漏洞执行什么操作?  
成功利用此漏洞的攻击者可能导致 Microsoft 恶意软件保护引擎停止响应并且重新启动。

攻击者如何利用此漏洞?  
攻击者可能通过创建特制文件并强制受影响的系统处理该文件来试图利用此漏洞。 当目标计算机上的 Microsoft 恶意软件保护引擎自动扫描此文件时,此文件可能使受影响的系统停止响应并且重新启动。

攻击者还可能制作特制的文件用于网站。 攻击者无法强迫用户访问特定网站。 相反,攻击者必须劝诱用户访问该网站,通常是让用户单击通向攻击者站点的链接。

受此漏洞威胁最大的系统有哪些?  
使用 Microsoft 恶意软件保护引擎的任何系统都受此漏洞的威胁。

此更新有什么作用?  
此更新通过修改 Microsoft 恶意软件保护引擎处理文件的方式来删除漏洞。

发布此安全公告时,此漏洞是否已公开披露?  
否。 Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。

在发布此安全公告时,Microsoft 是否收到任何有关此漏洞已被利用的报告?  
否。 在最初发布此安全公告时,Microsoft 未收到任何表明此漏洞已被公开用于攻击客户的信息,也没有看到任何发布的概念代码证明示例。

Microsoft 恶意软件保护引擎处理特制文件的方式中存在拒绝服务漏洞。 攻击者可以通过建立特制文件来利用此漏洞,当目标计算机系统接收或 Microsoft 恶意软件保护引擎扫描到此漏洞时,可能允许拒绝服务。 成功利用此漏洞的攻击者可能造成磁盘空间耗尽,导致拒绝服务的情况和自动重新启动。

要在“常见漏洞和披露”列表中以标准条目查看此漏洞,请参阅 CVE-2008-1438

Microsoft 恶意软件保护引擎漏洞 (CVE-2008-1438) 的缓解因素

Microsoft 并未发现此漏洞的任何缓解因素。

Microsoft 恶意软件保护引擎漏洞 (CVE-2008-1438) 的避免方法

变通办法是指一种设置或配置更改,它不能从根本上纠正漏洞,但有助于在应用更新之前封堵已知的攻击源。 Microsoft 已测试了以下变通方法,并在讨论中指明了变通方法是否会降低功能性:

  • 在同一系统上,Microsoft Forefront Security for Exchange Server、Microsoft Forefront Security for SharePoint 和 Microsoft Antigen 除了支持 Microsoft 恶意软件保护引擎外还支持多种引擎。 如果受影响系统上有多个引擎可用,管理员可以禁用恶意软件保护引擎作为变通,直到可以更新 Microsoft 恶意软件保护引擎。 禁用 Microsoft 恶意软件保护引擎之前,管理员应确保已为任何第三方防病毒引擎安装最新的病毒签名。
  • 我们并未发现 Windows Live OneCare、Microsoft Windows Defender 和 Microsoft Forefront Client Security 的任何变通办法。

Microsoft 恶意软件保护引擎漏洞 (CVE-2008-1438) 的常见问题解答

此漏洞的影响范围有多大?  
Microsoft 恶意软件保护引擎分析文件的方式中存在拒绝服务漏洞。 攻击者可以通过建立特制文件来利用此漏洞,当目标计算机系统接收或 Microsoft 恶意软件保护引擎扫描到此漏洞时,可能导致拒绝服务。 拒绝服务导致磁盘空间耗尽。 Microsoft 恶意软件保护引擎重新启动后,创建的临时文件被删除。

造成漏洞的原因是什么?  
Microsoft 恶意软件保护引擎在分析文件时没有正确地对特定数据结构进行验证。 这可能造成磁盘空间耗尽,导致拒绝服务的情况。

攻击者可能利用此漏洞执行什么操作?  
成功利用此漏洞的攻击者可能填充系统的磁盘空间,使系统减缓或没有反应。

攻击者如何利用此漏洞?  
攻击者可能通过创建特制文件并强制受影响的系统处理该文件来试图利用此漏洞。 当目标计算机上的 Microsoft 恶意软件保护引擎自动扫描此文件时,此文件可能导致受影响系统创建大量临时文件,填充系统的磁盘空间。

攻击者还可能制作特制的文件用于网站。 攻击者无法强迫用户访问特定网站。 相反,攻击者必须劝诱用户访问该网站,通常是让用户单击通向攻击者站点的链接。

受此漏洞威胁最大的系统有哪些?  
使用 Microsoft 恶意软件保护引擎的任何系统都受此漏洞的威胁。

此更新有什么作用?  
此更新通过修改 Microsoft 恶意软件保护引擎处理文件的方式来删除漏洞。

发布此安全公告时,此漏洞是否已公开披露?  
否。 Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。

在发布此安全公告时,Microsoft 是否收到任何有关此漏洞已被利用的报告?  
否。 在最初发布此安全公告时,Microsoft 未收到任何表明此漏洞已被公开用于攻击客户的信息,也没有看到任何发布的概念代码证明示例。

更新信息

这些受影响的产品提供自动检测和部署更新的内部机制。

受影响的软件

有关您的受影响软件的特定安全更新信息,请单击相应的链接:

Windows Live OneCare

先决条件
此安全更新需要 Windows Live OneCare。

重新启动要求

此更新不需要重新启动。 安装程序停止所需的服务,应用此更新,然后重新启动这些服务。 但是,如果由于某种原因而无法停止所需服务,或者正在使用所需文件,则此更新需要重新启动。 如果发生这种情况,将显示一条消息建议您重新启动。

有关可能提示您重新启动计算机的原因的详细信息,请参阅 Microsoft 知识库文章 887012

删除信息

使用 Windows Live OneCare 时不能卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统,请执行以下步骤:

  1. 单击“更改设置”,然后单击“日志记录”选项卡。
  2. 单击“创建支持日志”按钮。
  3. 在“病毒和间谍软件保护状态”和“病毒和间谍软件版本”下,如果成功安装了更新,“AM 引擎”应显示为 1.1.3520.0 或更高。

Microsoft Antigen for Exchange

先决条件
此安全更新需要 Microsoft Antigen for Exchange。

重新启动要求

此为自动更新不要求重新启动。

Forefront Server 安全更新服务在 Microsoft Antigen for Exchange Server 内自动更新 Microsoft 恶意软件保护引擎。 但是,在运行 Microsoft Antigen 而用户禁用 Microsoft 恶意软件保护引擎的计算机系统上,用户须通过管理员工具重新启用引擎。 一旦重新启用引擎,则必须单击“立即更新”进行更新。

删除信息

无法卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统,请执行以下步骤:

  1. 在 Antigen Administrator 中,单击“Scanner Updates(扫描程序更新)”,然后单击“Microsoft Antivirus(Microsoft 反病毒软件)”。
  2. 检查版本号。 如果 Microsoft 恶意软件保护引擎内部版本号显示为 0.1.13.192 或更高,此更新已成功安装。

有关设置 Microsoft Antigen 的说明,请访问以下Microsoft 网站

Microsoft Antigen for SMTP Gateway

先决条件
此安全更新需要 Microsoft Antigen for SMTP Gateway。

重新启动要求

此为自动更新不要求重新启动。

Forefront Server 安全更新服务在 Microsoft Antigen for SMTP Gateway 内自动更新 Microsoft 恶意软件保护引擎。 但是,在运行 Microsoft Antigen 而用户禁用 Microsoft 恶意软件保护引擎的计算机系统上,用户须通过管理员工具重新启用引擎。 一旦重新启用引擎,则必须单击“立即更新”进行更新。

删除信息

无法卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统,请执行以下步骤:

  1. 在 Antigen Administrator 中,单击“Scanner Updates(扫描程序更新)”,然后单击“Microsoft Antivirus(Microsoft 反病毒软件)”。
  2. 检查版本号。 如果 Microsoft 恶意软件保护引擎内部版本号显示为 0.1.13.192 或更高,此更新已成功安装。

Microsoft Windows Defender

先决条件
此安全更新需要 Windows Defender。

重新启动要求

此更新不需要重新启动。 安装程序停止所需的服务,应用此更新,然后重新启动这些服务。 但是,如果由于某种原因而无法停止所需服务,或者正在使用所需文件,则此更新需要重新启动。 如果发生这种情况,将显示一条消息建议您重新启动。

有关可能提示您重新启动计算机的原因的详细信息,请参阅 Microsoft 知识库文章 887012

删除信息

无法从 Windows XP 或 Windows Server 2003 上卸载此更新。

但可以从 Windows Vista 上卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统,请执行以下步骤:

  1. 单击“帮助”,然后单击“关于 Windows Defender”。
  2. 检查版本号。 如果 Microsoft Antivirus 引擎内部版本号显示为 1.1.3520.0 或更高,则此更新已成功安装。

Microsoft Forefront Client Security

先决条件
此安全更新需要 Microsoft Forefront Client Security。

重新启动要求
此更新不需要重新启动。 安装程序停止所需的服务,应用此更新,然后重新启动这些服务。 但是,如果由于某种原因而无法停止所需服务,或者正在使用所需文件,则此更新需要重新启动。 如果发生这种情况,将显示一条消息建议您重新启动。

有关可能提示您重新启动计算机的原因的详细信息,请参阅 Microsoft 知识库文章 887012

删除信息

使用 Microsoft Forefront Client Security 时不能卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统,请执行以下步骤:

  1. 单击“帮助”图标旁边的下箭头,然后单击“关于 Microsoft Forefront Client Security”。
  2. 检查版本号。 如果引擎版本号显示为 1.1.3520.0 或更高,则此更新已成功安装。

Microsoft Forefront Security for Exchange Server

先决条件
此安全更新需要 Forefront Security for Exchange Server。

重新启动要求

此为自动更新不要求重新启动。

Forefront Server 安全更新服务在 Forefront Security for Exchange Server 内自动更新 Microsoft 恶意软件保护引擎。 但是,在运行 Forefront Security for Exchange Server 而用户禁用 Microsoft 恶意软件保护引擎的计算机系统上,用户须通过管理员工具重新启用引擎。 一旦重新启用引擎,则必须单击“立即更新”进行更新。

删除信息

无法卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统,请执行以下步骤:

  1. 在 Antigen Administrator 中,单击“扫描程序更新”,然后单击“恶意软件引擎”。
  2. 检查版本号。 如果 Microsoft 恶意软件保护引擎内部版本号显示为 0.1.13.192 或更高,此更新已成功安装。

有关设置 Forefront Server Security for Exchange Server 引擎的说明,请访问以下Microsoft 网站

Microsoft Forefront Security for SharePoint

先决条件
此安全更新需要 Forefront Security for SharePoint。

重新启动要求

此为自动更新不要求重新启动。

Forefront Server 安全更新服务在 Forefront Security for SharePoint 内自动更新 Microsoft 恶意软件保护引擎。 但是,在运行 Forefront Security for SharePoint 而用户禁用 Microsoft 恶意软件保护引擎的计算机系统上,用户须通过管理员工具重新启用引擎。 一旦重新启用引擎,则必须单击“立即更新”进行更新。

删除信息

无法卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统,请执行以下步骤:

  1. 在 Forefront Administrator 中,单击“扫描程序更新”,然后单击“Microsoft 恶意软件保护引擎”。
  2. 检查版本号。 如果 Microsoft 恶意软件保护引擎内部版本号显示为 0.1.13.192 或更高,此更新已成功安装。

有关设置 Forefront Server Security for SharePoint 引擎的说明,请访问以下Microsoft 网站

位于诊断与恢复工具集 6.0 中的独立系统清理程序

先决条件
此安全更新需要位于诊断与恢复工具集 6.0 中的独立系统清理程序。

重新启动要求

此更新不需要重新启动。

开始使用位于 ERD Commander Boot Media (DaRT bootable CD) 上的独立系统清理程序进行扫描前,请确保您安装了最新的定义。 要更新定义,请启动独立系统清理程序,单击帮助图标旁边的下箭头,然后选择“检查更新”。 按照提示检查定义更新。

如果您在 2005 年 5 月 13 日前创建了 ERD Commander Boot Media (DaRT bootable CD),您应将其丢弃,并使用独立系统清理程序创建一个新的介质用于将来扫描。

删除信息

无法卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统,请执行以下步骤:

  1. 启动独立系统清理程序,单击帮助图标旁边的下箭头,然后单击“关于独立系统清理程序”。
  2. 检查版本号。 如果 Microsoft 恶意软件保护引擎内部版本号显示为 1.1.3520.0 或更高,则此更新已成功安装。

其他信息

鸣谢

Microsoft 感谢下列人员或组织与我们一起致力于保护客户的利益:

  • Nevis Labs 的 Sowhat 报告了 Microsoft 恶意软件保护引擎漏洞 (CVE-2008-1437)。
  • Nevis Labs 的 Sowhat 报告了 Microsoft 恶意软件保护引擎漏洞 (CVE-2008-1438)。

支持

  • 美国和加拿大的客户可拨打电话 1-866-PCSAFETY,从 Microsoft 产品支持服务获得技术支持。 与安全更新有关的电话支持服务是免费的。
  • 其他国家(或地区)的用户可从当地的 Microsoft 分公司获得支持。 与安全更新有关的支持服务不收取任何费用。 有关如何就支持问题与 Microsoft 取得联系方面的详细信息,请访问国际支持网站

免责声明

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。 Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。 有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

  • V1.0(2008 年 5 月 13 日): 已发布公告。

Built at 2014-04-18T01:50:00Z-07:00

显示: