微软修补Duqu木马幽灵代码

在2012年5月的周二补丁日微软发布了一个综合的更新文件来修补与Duqu恶意软件有关的字体解析代码漏洞，解决了在Office产品、Windows系统和.NET框架中的一些严重缺陷。这个软件巨人发布了7个安全公告、其中3个评级为“严重”，共修补产品线的23个漏洞。

自从去年11月以来这是微软第2次更新受Duqu木马影响的软件。自从去年10月以来安全研究人员一直在研究Duqu木马，初步的研究发现它与臭名昭著的Stuxnet蠕虫有着类似的代码。不过不像Stuxnet蠕虫那样，Duqu木马不是用来干扰关键的进程。相反，它悄悄地收集厂商工业系统的信息。MS11-087安全公告解决了被Duqu木马利用的Office文档攻击途径。而且在一篇博客中，微软的工程师Jonathan Ness表示在其它的产品也发现同样的代码用于自定义字体，包括第三方的浏览器。Ness强调Duqu木马的攻击目标不是安全公告MS12-034解决的那些软件缺陷。

今天发布的MS12-034作为修复Duqu漏洞的一部分，修补了在Windows Journal Viewer、Silverlight和.NET Framework框架中的10个漏洞。通过将Windows Vista中使用的安全功能添加到Windows XP和Windows Server 2003中，该补丁还解决了某个恶意的键盘布局文件攻击。

VMware公司的研发经理、漏洞专家Jason Miller表示，由于该漏洞的重量性、以及通过简单的路过式攻击就可以触发它，该安全公告极其重要。

“在这个公告中涵盖了你已经拥有的、许多不同类型的操作系统以及不同的产品。它将会触及到网络的许多不同的组件”，Miller说道。此外，他谈到这些漏洞中的3个已经被公开，所以给必要的系统安装补丁尤为重要。

据Miller表示该补丁安装过程需要安全专家许多耐心，安全从业人员应该“反复地检查报告，并且回到他们的系统，确保安装了每个补丁。该安全公告包括30个多个补丁”，可能除了Silverlight没有被广泛地使用以外，每个补丁都同等地重要。

“严重”的微软Office漏洞

安全公告MS12-029的等级也是“严重”，它解决了Office的一个漏洞。由于Office读取RTF文档方式的某个缺陷使得攻击者可以远程执行代码。

位于加利福尼亚红木海岸的漏洞管理厂商、Qualys有限公司的CTO Wolfgang Kandek也表示应该优先考虑安全公告MS12-029，因为该漏洞可以被简单地触发。

“最关键的问题是，在平常的Office产品漏洞中你总是必须打开某个文件才能触发漏洞。而它，你只需要在Outlook中预览消息就能触发它”，Kandek谈道。打开邮件附件中的恶意RTF文件，或者是访问被入侵的web站点也能触发该漏洞。

这个Office的漏洞是危险的，尽管在它们到达用户的收件箱前，通常有过滤器拦截这些恶意文件。RTF文件是十分常见的，很可能被允许通过，Miller表示。成功的攻击能让攻击者完全控制受到影响的系统。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]