微软修复SetMouseCapture IE零日漏洞

微软2013年10月份的“补丁星期二(Patch Tuesday)”安全更新发布了8个公告，解决了26个漏洞，有4个属于“关键”级别，其中最具影响力的补丁是解决了最近IE浏览器出现的零日漏洞。

SetMouseCapture IE零日漏洞是由安全厂商FireEye在9月份最先发现的，其实安全专家之前就预期会出现该漏洞。由于它是自检测的，所以FireEye公司发现了至少三个利用该零日漏洞进行主动攻击的活动，其中之一要追溯到Hidden Lynx，它是中国专业黑客团队，并被认为与今年早些时候攻击了安全厂商Bit9的事件有关。

虽然只观察到了基于有限区域的有针对性的攻击的一部分，但是利用代码漏洞，一旦被公开披露，它会急剧蔓延。上周，渗透测试工具Metasploit发布了一个利用IE零日漏洞的攻击模块，这进一步增加了微软提供补丁的压力。

根据零日漏洞CVE-2013-3893的调查结果，微软表示，该漏洞是由于IE“访问了内存中已被删除或没有正确分配的对象”产生的。这样，攻击者就可以执行任意代码，华盛顿Redmond总部软件专家表示，攻击者可以建立一个特定的网站，利用该漏洞来欺骗用户访问它。

第一个公告是MS13-080，它是作为一共解决IE浏览器的10个漏洞累积安全更新，CVE-2013-3893是唯一一个公开披露的。

尽管很多安全专家都知道零日漏洞，但位于波士顿的漏洞管理厂商Rapid7的安全工程高级经理Ross Barrett还是提出了一个单独的IE零日漏洞CVE-2013-3897，它是第一个公告中没有公开的9个漏洞之一。他表示，这个第二个零日漏洞也会被用来进行有针对性攻击。

Barrett强调：“这并不是说其它8个IE漏洞就没有潜在的破坏性，不过至少到目前为止，它们还没有被利用进行针对性攻击。”

除了在MS13-080中提供的重要的IE更新，微软还在其优先级最高的部署中分类了两个其它更新版本。第一个是MS13-081，它在微软Windows各版本之间提供了7个问题的补丁。在这个版本中的私人漏洞补丁中，该公司表示最重要的是如果用户使用嵌入式OpenType或者TrueType字体文件，则允许远程代码执行。攻击者可能会通过这个漏洞获得内核级的系统访问，尽管目前还没有发现任何活跃漏洞。

微软发布的另一高优先级的补丁是MS13-083，它只解决微软Windows和Windows Server多个版本中发现的一个问题。如果一个系统可以接收从ASP.NET Web应用程序的特定请求，那么它就是另一个允许远程执行代码的漏洞。微软提醒，一旦成功利用该漏洞会授予攻击者本地用户的权利。Barrett表示，这个漏洞提出了一个“潜在的‘蠕虫’条件”，这就提醒我们，如果攻击者根据它进行自动化漏洞，就可以测试到企业防御系统。

在十月份的补丁星期二中发布的MS13-082解决了其它“关键”漏洞。其中解决的最严重的漏洞就是如果用户访问了一个包含能操纵OpenType字体文件的网站，它会允许远程代码执行。这种漏洞存在于Microsoft .NET架构的其中几个版本中。

其它四个更新也是解决微软认为重要的几个问题，但是Barrett建议企业重点关注前四个补丁。