安全公告
Microsoft 安全公告 MS08-029 - 中等
Microsoft 恶意软件防护引擎中的漏洞可能允许拒绝服务(952044)
发布时间: 2008 年 5 月 13 日
版本: 1.0
常规信息
执行摘要
此安全更新可解决 Microsoft 恶意软件保护引擎中的两个私下报告的漏洞。 攻击者可以通过构建一个特制的文件来利用这两个漏洞,该文件可在目标计算机系统接收和 Microsoft 恶意软件防护引擎扫描时允许拒绝服务。 成功利用任一漏洞的攻击者可能导致 Microsoft 恶意软件保护引擎停止响应并自动重启。
Microsoft 恶意软件保护引擎是多个 Microsoft 产品的一部分。 根据安装的产品,此安全更新具有不同的严重性分级。 此安全更新针对 Windows Live OneCare、Microsoft Psa for Exchange、Microsoft Smtp Gateway 的 Microsoft 抗体、Microsoft Windows Defender、Microsoft Forefront Client Security、Microsoft Forefront Security for Exchange Server 和 Microsoft Forefront Security for SharePoint 进行分级。 对于诊断和恢复工具集 6 中的独立系统扫描程序,此安全更新的评级较低。 有关详细信息,请参阅本节中的小节“ 受影响的和非受影响的软件”。
安全更新通过修改恶意软件保护引擎处理文件的方式来解决漏洞。 有关此漏洞的详细信息,请参阅下一部分 “漏洞信息”下的“常见问题解答”(常见问题解答)子部分。
建议。 Microsoft 建议客户立即确保他们具有最新的 Microsoft 恶意软件防护引擎更新。 受影响的软件提供内置机制,用于自动检测和部署此更新。
已知问题。 无
受影响的和非受影响的软件
以下软件已经过测试,以确定哪些版本受到影响。 其他版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请访问Microsoft 支持部门生命周期。
受影响的软件
| 软件 | 最大安全影响 | 聚合严重性分级 |
|---|---|---|
| Windows Live OneCare | 拒绝服务 | 中等 |
| Microsoft Antigen for Exchange | 拒绝服务 | 中等 |
| 适用于 SMTP 网关的 Microsoft Psa | 拒绝服务 | 中等 |
| Microsoft Windows Defender | 拒绝服务 | 中等 |
| Microsoft Forefront Client Security | 拒绝服务 | 中等 |
| 适用于 Exchange Server 的 Microsoft Forefront Security | 拒绝服务 | 中等 |
| Microsoft Forefront Security for SharePoint | 拒绝服务 | 中等 |
| 位于诊断和恢复工具集 6.0 中的独立系统扫描程序 | 拒绝服务 | 低 |
请注意 ,这些受影响的产品提供内置机制,用于自动检测和部署更新。
与此安全更新相关的常见问题(常见问题解答)
什么是 Microsoft 恶意软件防护引擎?
Microsoft 恶意软件保护引擎(mpengine.dll)为以下防病毒和反间谍客户端提供扫描、检测和清理功能:Windows Live OneCare、Microsoft Archiving for Exchange、Microsoft Smtp Gateway 的 Microsoft 防病毒、Microsoft Windows Defender、Microsoft Forefront Client Security、Microsoft Forefront Security for Exchange Server、Microsoft Forefront Security for SharePoint 和位于诊断和恢复工具集 6 的独立系统扫描器。
使用 Microsoft 恶意软件防护引擎的 Microsoft 产品是否自动更新?
受影响的软件提供内置机制,用于自动检测和部署此更新。 为 Microsoft 防病毒客户端软件禁用了 AutoUpdate 或 Microsoft 更新的用户需要重新启用 AutoUpdate 或手动更新 Microsoft 防病毒客户端软件才能接收更新的 Microsoft 恶意软件保护引擎。 若要手动更新 Microsoft 防病毒客户端软件,用户应遵循随受影响软件提供的产品文档。
对于 Microsoft Malware 和 Microsoft Forefront,Microsoft 恶意软件保护引擎将自动更新。 对于已从默认安装中更改的系统,可以通过管理员工具执行手动引擎更新。 如果引擎已禁用,可以重新启用该引擎,然后通过单击“立即更新”立即更新来立即更新。 对于使用 Microsoft Redistribut Enterprise Manager 更新引擎的客户,用户应选择“引擎更新重新分发作业”,然后单击“ 立即运行”。
适用于 Windows Defender 的 Microsoft 恶意软件保护引擎更新作为正常 Windows Defender 签名更新过程的一部分分发。 有关如何使用 Windows Server Update Services (WSUS) 部署 Windows Defender 定义更新的详细信息,请参阅 Microsoft 知识库文章919772。
哪个版本的 Microsoft 恶意软件防护引擎解决了此问题?
| 受影响的软件 | 引擎版本号 |
|---|---|
| Windows Live OneCare | 1.1.3520.0 |
| Microsoft Antigen for Exchange | 0.1.13.192 |
| 适用于 SMTP 网关的 Microsoft Psa | 0.1.13.192 |
| Microsoft Windows Defender | 1.1.3520.0 |
| Microsoft Forefront Client Security | 1.1.3520.0 |
| 适用于 Exchange Server 的 Microsoft Forefront Security | 0.1.13.192 |
| Microsoft Forefront Security for SharePoint | 0.1.13.192 |
| 位于诊断和恢复工具集 6.0 中的独立系统扫描程序 | 1.1.3520.0 |
请注意 ,如果 Microsoft 恶意软件防护引擎版本等于或大于上面列出的引擎版本号,则不会受到此漏洞的影响,并且无需采取任何进一步操作。
如何实现检测已安装的 Microsoft 恶意软件防护引擎的版本?
本公告后面的“安全更新部署”部分列出了有关如何检查安装了哪个版本的 Microsoft 恶意软件保护引擎的详细信息。
我使用的是此安全公告中讨论的软件的较旧版本。 应采取何种操作?
此公告中列出的受影响的软件已经过测试,以确定哪些版本受到影响。 其他版本已超过其支持生命周期。 若要确定软件版本的支持生命周期,请访问Microsoft 支持部门生命周期。
对于具有较旧版本的软件的客户来说,这应该是一个优先事项,可以迁移到受支持的版本,以防止潜在的漏洞暴露。 有关 Windows 产品生命周期的详细信息,请访问Microsoft 支持部门生命周期。 有关这些软件版本或版本的延长安全更新支持期的详细信息,请访问 Microsoft 产品支持服务。
需要旧版本的自定义支持的客户必须联系其 Microsoft 帐户团队代表、其技术客户经理或相应的 Microsoft 合作伙伴代表以获取自定义支持选项。 没有联盟、顶级或授权合同的客户可以与其当地的 Microsoft 销售办公室联系。 有关联系信息,请访问 Microsoft 全球信息,选择国家/地区,然后单击“转到”以查看电话号码列表。 呼叫时,请与当地顶级支持销售经理交谈。 有关详细信息,请参阅 Windows 操作系统产品支持生命周期常见问题解答。
漏洞信息
严重性分级和漏洞标识符
| 受影响的软件 | Microsoft 恶意软件防护引擎漏洞 - CVE-2008-1437 | Microsoft 恶意软件防护引擎漏洞 - CVE-2008-1438 | 聚合严重性分级 |
|---|---|---|---|
| Microsoft 恶意软件防护引擎 | |||
| Windows Live OneCare | 中等 拒绝服务 | 低 拒绝服务 | 中等 |
| Microsoft Antigen for Exchange | 中等 拒绝服务 | 中等 拒绝服务 | 中等 |
| 适用于 SMTP 网关的 Microsoft Psa | 中等 拒绝服务 | 中等 拒绝服务 | 中等 |
| Microsoft Windows Defender | 中等 拒绝服务 | 中等 拒绝服务 | 中等 |
| Microsoft Forefront Client Security | 中等 拒绝服务 | 低 拒绝服务 | 中等 |
| 适用于 Exchange Server 的 Microsoft Forefront Security | 中等 拒绝服务 | 中等 拒绝服务 | 中等 |
| Microsoft Forefront Security for SharePoint | 中等 拒绝服务 | 中等 拒绝服务 | 中等 |
| 位于诊断和恢复工具集 6.0 中的独立系统扫描程序 | 低 拒绝服务 | 低 拒绝服务 | 低 |
Microsoft 恶意软件防护引擎漏洞 - CVE-2008-1437
Microsoft 恶意软件防护引擎处理特制文件的方式存在拒绝服务漏洞。 攻击者可以通过构建一个特制的文件来利用漏洞,该文件可以在目标计算机系统收到并扫描 Microsoft 恶意软件防护引擎时允许拒绝服务。 成功利用此漏洞的攻击者可能导致 Microsoft 恶意软件保护引擎停止响应并自动重启。
若要将此漏洞视为常见漏洞和公开列表中的标准条目,请参阅 CVE-2008-1437。
Microsoft 恶意软件防护引擎漏洞的缓解因素 - CVE-2008-1437
Microsoft 尚未识别此漏洞的任何缓解因素。
Microsoft 恶意软件防护引擎漏洞的解决方法 - CVE-2008-1437
解决方法是指未更正基础漏洞的设置或配置更改,但有助于在应用更新之前阻止已知的攻击途径。 Microsoft 在讨论解决方法是否减少功能时测试了以下解决方法和状态:
- 除单个系统上的 Microsoft 恶意软件保护引擎外,Microsoft Forefront Security for Exchange Server、Microsoft Forefront Security for SharePoint 和 Microsoft Psa 还支持多个引擎。 如果受影响的系统上提供了多个引擎,管理员可以禁用 Microsoft 恶意软件防护引擎作为解决方法,直到 Microsoft 恶意软件保护引擎可以更新。 在禁用 Microsoft 恶意软件保护引擎之前,管理员应确保他们已安装任何第三方引擎的最新病毒签名。
- 我们没有确定 Windows Live OneCare、Microsoft Windows Defender 和 Microsoft Forefront 客户端安全性的任何解决方法。
Microsoft 恶意软件防护引擎漏洞常见问题解答 - CVE-2008-1437
漏洞的范围是什么?
Microsoft 恶意软件防护引擎分析文件的方式存在拒绝服务漏洞。 攻击者可以通过构建一个特制的文件来利用漏洞,该文件可以在目标计算机系统收到并扫描 Microsoft 恶意软件防护引擎时允许拒绝服务。
导致漏洞的原因是什么?
分析专门制作的文件时,Microsoft 恶意软件保护引擎无法正确验证输入。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可能导致 Microsoft 恶意软件防护引擎无法响应并重启。
攻击者如何利用漏洞?
攻击者可能尝试通过创建特制的文件并强制受影响的系统处理文件来利用漏洞。 当目标计算机上的 Microsoft 恶意软件保护引擎自动扫描文件时,该文件可能会导致受影响的系统无法响应并重启。
攻击者还可以在网站上提供特制的文件。 攻击者无法强制用户访问特定网站。 相反,攻击者必须说服他们访问该网站,通常是通过让他们单击一个链接,将他们带到攻击者的网站。
哪些系统主要面临漏洞的风险?
使用 Microsoft 恶意软件保护引擎的任何系统都面临此漏洞的风险。
更新的作用是什么?
更新通过修改 Microsoft 恶意软件保护引擎处理文件的方式来消除漏洞。
发布此安全公告后,是否已公开披露此漏洞?
否。 Microsoft 通过负责任的披露收到了有关此漏洞的信息。
发布此安全公告后,Microsoft 是否收到了有关此漏洞被利用的任何报告?
否。 Microsoft 没有收到任何信息,表明此漏洞已公开用于攻击客户,并且最初发布此安全公告时未显示任何概念证明代码示例。
Microsoft 恶意软件防护引擎漏洞 - CVE-2008-1438
Microsoft 恶意软件防护引擎处理特制文件的方式存在拒绝服务漏洞。 攻击者可以通过构建一个特制的文件来利用漏洞,该文件可以在目标计算机系统收到并扫描 Microsoft 恶意软件防护引擎时允许拒绝服务。 成功利用此漏洞的攻击者可能会导致磁盘空间耗尽,从而导致拒绝服务条件和自动重启。
若要将此漏洞视为常见漏洞和公开列表中的标准条目,请参阅 CVE-2008-1438。
Microsoft 恶意软件防护引擎漏洞的缓解因素 - CVE-2008-1438
Microsoft 尚未识别此漏洞的任何缓解因素。
Microsoft 恶意软件防护引擎漏洞的解决方法 - CVE-2008-1438
解决方法是指未更正基础漏洞的设置或配置更改,但有助于在应用更新之前阻止已知的攻击途径。 Microsoft 在讨论解决方法是否减少功能时测试了以下解决方法和状态:
- 除单个系统上的 Microsoft 恶意软件保护引擎外,Microsoft Forefront Security for Exchange Server、Microsoft Forefront Security for SharePoint 和 Microsoft Psa 还支持多个引擎。 如果受影响的系统上提供了多个引擎,管理员可以禁用 Microsoft 恶意软件防护引擎作为解决方法,直到 Microsoft 恶意软件保护引擎可以更新。 在禁用 Microsoft 恶意软件保护引擎之前,管理员应确保他们已安装任何第三方引擎的最新病毒签名。
- 我们没有确定 Windows Live OneCare、Microsoft Windows Defender 和 Microsoft Forefront 客户端安全性的任何解决方法。
Microsoft 恶意软件防护引擎漏洞常见问题解答 - CVE-2008-1438
漏洞的范围是什么?
Microsoft 恶意软件防护引擎分析文件的方式存在拒绝服务漏洞。 攻击者可以通过构建一个特制的文件来利用漏洞,当目标计算机系统收到并被 Microsoft 恶意软件保护引擎扫描时,该文件可能会导致拒绝服务。 拒绝服务会导致磁盘空间耗尽。 Microsoft 恶意软件保护引擎重启后,将删除已创建的临时文件。
导致漏洞的原因是什么?
分析文件时,Microsoft 恶意软件保护引擎无法正确验证某些数据结构。 这可能会导致磁盘空间耗尽,导致拒绝服务条件。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可能会填补系统的磁盘空间,使系统速度缓慢或无响应。
攻击者如何利用漏洞?
攻击者可能尝试通过创建特制的文件并强制受影响的系统处理文件来利用漏洞。 当目标计算机上的 Microsoft 恶意软件保护引擎自动扫描文件时,该文件可能会导致受影响的系统创建大型临时文件,并填满系统的磁盘空间。
攻击者还可以在网站上提供特制的文件。 攻击者无法强制用户访问特定网站。 相反,攻击者必须说服他们访问该网站,通常是通过让他们单击一个链接,将他们带到攻击者的网站。
哪些系统主要面临漏洞的风险?
使用 Microsoft 恶意软件保护引擎的任何系统都面临此漏洞的风险。
更新的作用是什么?
更新通过修改 Microsoft 恶意软件保护引擎处理文件的方式来消除漏洞。
发布此安全公告后,是否已公开披露此漏洞?
否。 Microsoft 通过负责任的披露收到了有关此漏洞的信息。
发布此安全公告后,Microsoft 是否收到了有关此漏洞被利用的任何报告?
否。 Microsoft 没有收到任何信息,表明此漏洞已公开用于攻击客户,并且最初发布此安全公告时未显示任何概念证明代码示例。
更新信息
检测和部署工具和指南
这些受影响的产品提供内置机制,用于自动检测和部署更新。
安全更新部署
受影响的软件
有关受影响软件的特定安全更新的信息,请单击相应的链接:
Windows Live OneCare
此安全更新的 先决条件需要 Windows Live OneCare。
重启要求
此更新不需要重启。 安装程序停止所需的服务,应用更新,然后重启服务。 但是,如果出于任何原因而无法停止所需的服务,或者正在使用所需的文件,则此更新将需要重启。 如果发生此行为,将显示一条消息,建议重启。
有关系统提示重新启动计算机的原因的详细信息,请参阅 Microsoft 知识库文章887012。
删除信息
使用 Windows Live OneCare 时,无法卸载此更新。
验证更新安装
若要验证更新是否已应用于受影响的系统,请执行以下步骤:
- 单击“更改设置,然后单击”日志记录“选项卡。
- 单击“ 创建支持日志 ”按钮。
- 在“病毒和间谍软件保护状态”和“病毒和间谍软件版本”下,如果已成功安装更新,AM 引擎应读取 1.1.3520.0 或更高版本。
Microsoft Antigen for Exchange
此安全更新的 先决条件需要 Microsoft Psa for Exchange。
重启要求
此更新是自动更新,不需要重启。
Forefront Server 安全更新服务自动更新 Microsoft Malware Protection Engine in Microsoft Malware Protection Engine for Exchange Server。 但是,在运行 Microsoft Malware 的计算机上,用户禁用 Microsoft 恶意软件防护引擎的计算机系统上,用户必须通过管理员工具重新启用引擎。 重新启用后,应通过单击“立即更新”来更新引擎。
删除信息
无法卸载此更新。
验证更新安装
若要验证更新是否已应用于受影响的系统,请执行以下步骤:
- 在“抗体管理员器”中,单击“扫描程序”汇报,然后单击“Microsoft 防病毒”。
- 检查版本号。 如果 Microsoft 恶意软件防护引擎内部版本号读取 0.1.13.192 或更高版本,则已成功安装更新。
有关配置 Microsoft Rms 的说明,请访问以下 Microsoft 网站。
适用于 SMTP 网关的 Microsoft Psa
此安全更新的 先决条件要求 Microsoft Psa for SMTP 网关。
重启要求
此更新是自动更新,不需要重启。
Forefront Server 安全更新服务自动更新 Microsoft Smtp 网关的 Microsoft Malware Protection Engine。 但是,在运行 Microsoft Malware 的计算机上,用户禁用 Microsoft 恶意软件防护引擎的计算机系统上,用户必须通过管理员工具重新启用引擎。 重新启用后,应通过单击“立即更新”来更新引擎。
删除信息
无法卸载此更新。
验证更新安装
若要验证更新是否已应用于受影响的系统,请执行以下步骤:
- 在“抗体管理员器”中,单击“扫描程序”汇报,然后单击“Microsoft 防病毒”。
- 检查版本号。 如果 Microsoft 恶意软件防护引擎内部版本号读取 0.1.13.192 或更高版本,则已成功安装更新。
Microsoft Windows Defender
此 安全更新需要 Windows Defender 的先决条件。
重启要求
此更新不需要重启。 安装程序停止所需的服务,应用更新,然后重启服务。 但是,如果出于任何原因而无法停止所需的服务,或者正在使用所需的文件,则此更新将需要重启。 如果发生此行为,将显示一条消息,建议重启。
有关系统提示重新启动计算机的原因的详细信息,请参阅 Microsoft 知识库文章887012。
删除信息
无法从 Windows XP 或 Windows Server 2003 卸载此更新。
可以从 Windows Vista 卸载此更新。
验证更新安装
若要验证更新是否已应用于受影响的系统,请执行以下步骤:
- 单击“帮助”,然后单击“关于 Windows Defender”。
- 检查版本号。 如果 Microsoft 防病毒引擎内部版本号读取 1.1.3520.0 或更高版本,则已成功安装更新。
Microsoft Forefront Client Security
此安全更新需要 Microsoft Forefront 客户端安全性的先决条件。
重启要求 此更新不需要重启。 安装程序停止所需的服务,应用更新,然后重启服务。 但是,如果出于任何原因而无法停止所需的服务,或者正在使用所需的文件,则此更新将需要重启。 如果发生此行为,将显示一条消息,建议重启。
有关系统提示重新启动计算机的原因的详细信息,请参阅 Microsoft 知识库文章887012。
删除信息
使用 Microsoft Forefront 客户端安全性时,无法卸载此更新。
验证更新安装
若要验证更新是否已应用于受影响的系统,请执行以下步骤:
- 单击“帮助”图标旁边的向下箭头,然后单击“ 关于 Microsoft Forefront 客户端安全性”。
- 检查版本号。 如果引擎版本号读取 1.1.3520.0 或更高版本,则已成功安装更新。
适用于 Exchange Server 的 Microsoft Forefront Security
此安全更新的 先决条件需要 Exchange Server 的 Forefront Security。
重启要求
此更新是自动更新,不需要重启。
Forefront Server 安全更新服务自动更新 Exchange Server Forefront Security 中的 Microsoft 恶意软件保护引擎。 但是,在运行 Forefront Security for Exchange Server 的计算机系统上,用户已禁用 Microsoft 恶意软件保护引擎,用户必须通过管理员工具重新启用引擎。 重新启用后,应通过单击“立即更新”来更新引擎。
删除信息
无法卸载此更新。
验证更新安装
若要验证更新是否已应用于受影响的系统,请执行以下步骤:
- 在 Forefront 管理员istrator 中,单击“扫描程序”汇报,然后单击“恶意软件引擎”。
- 检查版本号。 如果 Microsoft 恶意软件防护引擎内部版本号读取 0.1.13.192 或更高版本,则已成功安装更新。
有关为 Exchange Server 引擎配置 Forefront Server 安全性的说明,请访问以下 Microsoft 网站。
Microsoft Forefront Security for SharePoint
此安全更新的 先决条件需要 SharePoint 的 Forefront Security。
重启要求
此更新是自动更新,不需要重启。
Forefront Server 安全更新服务自动更新 Forefront Security for SharePoint 中的 Microsoft 恶意软件保护引擎。 但是,在运行 Forefront Security for SharePoint 的计算机系统上,用户已禁用 Microsoft 恶意软件保护引擎,用户必须通过管理员工具重新启用引擎。 重新启用后,应通过单击“立即更新”来更新引擎。
删除信息
无法卸载此更新。
验证更新安装
若要验证更新是否已应用于受影响的系统,请执行以下步骤:
- 在 Forefront 管理员istrator 中,单击扫描程序汇报,然后单击 Microsoft 恶意软件保护引擎。
- 检查版本号。 如果 Microsoft 恶意软件防护引擎内部版本号读取 0.1.13.192 或更高版本,则已成功安装更新。
有关为 SharePoint 引擎配置 Forefront Server Security 的说明,请访问以下 Microsoft 网站。
位于诊断和恢复工具集 6.0 中的独立系统扫描程序
此安全更新的 先决条件需要诊断和恢复工具集 6.0,并影响独立系统扫描程序。
重启要求
此更新不需要重启。
确保在使用位于 ERD 指挥官启动媒体(DaRT 可启动 CD)的独立系统扫描程序开始扫描之前已安装最新定义。 若要更新定义,请启动独立系统扫描程序,然后单击 帮助图标旁边的向下箭头 ,然后选择“ 检查更新”。 按照说明检查定义更新。
如果在 2008 年 5 月 13 日之前创建了 ERD 指挥官启动媒体(DaRT 可启动 CD),则应将其取消卡并使用独立系统扫描器为将来的扫描创建新媒体。
删除信息
无法卸载此更新。
验证更新安装
若要验证更新是否已应用于受影响的系统,请执行以下步骤:
- 启动独立系统扫描程序,单击 帮助图标旁边的向下箭头 ,然后单击“ 关于独立系统扫描程序”。
- 检查版本号。 如果 Microsoft 恶意软件防护引擎内部版本号读取 1.1.3520.0 或更高版本,则已成功安装更新。
其他信息
致谢
Microsoft 感谢 以下部门与我们合作,帮助保护客户:
- 关于报告 Microsoft 恶意软件防护引擎漏洞(CVE-2008-1437)的 Nevis Labs 的功能。
- 关于报告 Microsoft 恶意软件防护引擎漏洞(CVE-2008-1438)的 Nevis Labs 的功能。
支持
- 美国和加拿大的客户可以在 1-866-PCSAFETY 接受 Microsoft 产品支持服务的 技术支持。 对于与安全更新关联的支持调用,不收取任何费用。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 不支持与安全更新关联的支持。 有关如何联系 Microsoft 获取支持问题的详细信息,请访问 国际支持网站。
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2008 年 5 月 13 日):公告已发布。
生成于 2014-04-18T13:49:36Z-07:00