微软家的部分漏洞集
2014-11-17 09:43:55 
阿炯
微软在2014年11月紧急发布了大量漏洞补丁,数量规模创下历史新高,其中一个高危漏洞(CVE-2014-6332)存在于IE浏览器的安全隧道(Schannel)层,也就是SSL和TLS安全协议的部署层,这个漏洞可以让攻击者远程完全控制主机并执行代码。发现该漏洞的IBM X-Force团队主管Robert Freeman本周二在博客中指出,微软IE浏览器的SSL高危漏洞至少从windows 95开始就存在于微软的桌面操作系统中,“洞龄”迄今已经超过18年。通过这种远程代码执行漏洞,黑客可以在目标主机中安装恶意软件,从事各种非法活动,例如键盘记录、屏幕摄录、信息窃取等。
值得注意的是,微软本周爆出高危SSL/TLS漏洞之前,包括谷歌(SSL3.0“贵宾犬”漏洞,洞龄15年)苹果(gotofail安全漏洞)、OpenSSL(心脏出血漏洞,洞龄12年)、LibreSSL(伪随机数生成器缺陷)GnuTLS(应用于GNOME等处)以及Mozilla火狐浏览器的NSS漏洞今年先后爆出SSL/TLS安全协议漏洞,而且这些致命的漏洞无所不在,而且“洞龄”短则数年,长则十数年,潜伏之久令人发指。
斯诺登曾指责NSA操控SSL/TLS标准,蓄意弱化安全协议标准,但NSA如何对互联网安全基础协议和标准进行渗透和操控?是否在SSL /TLS、802.11i、IPSec等基础安全协议和标准中留下“蓄意缺陷”,从而达到其大规模破解和监控的目的?这依然是业界不可言说的“阴谋论”。
其实早在心脏出血漏洞爆发时,Vox公司的Tim Lee就曾在博客中指出,OpenSSL的漏洞对NSA这样的情报部门来说更有价值,NSA与运营商和互联网服务商存在合作关系,可从互联网骨干网大规模解密OpenSSL加密的数据。
如果说Tim的阴谋论还仅仅是一种假设,那么,随着苹果、谷歌、火狐以及微软等用户基数极为庞大的“棱镜”公司的HTTPS基础安全机制接连发现致命漏洞,任何一位神志清醒的专家都不会认为这是巧合。
正如开源大师,FreeBSD作者Poul-Henning Kamp在Twitter上怒不可遏的控诉:
一个SSL漏洞是错误,两个是事故,三个是蓄意破坏。
苹果、OpenSSL+微软=一屋子的NSA
上文源自:安全牛
微软已修复 Win10/Win11 被曝 MSHTML 零日漏洞
2024年7月11日消息,微软公司在 7 月补丁星期二发布的 Windows 10、Windows 11 系统累积更新中,修复了追踪编号为 CVE-2024-38112 的零日漏洞。
该零日漏洞由 Check Point Research 的安全专家李海飞(Haifei Li,音译)于 2023 年 1 月发现,是一个高度严重的 MHTML 欺骗问题,有证据表明有黑客在过去 18 个月里,利用该漏洞发起恶意攻击,可以绕过 Windows 10、Windows 11 系统的安全功能。该专家发现网络攻击者通过分发 Windows Internet 快捷方式文件(.url),以欺骗 PDF 等看起来合法的文件,用户一旦点开这些文件,就会下载并启动 HTA 以安装密码窃取恶意软件。
Internet 快捷方式文件只是一个文本文件,其中包含各种配置设置,如显示什么图标、双击时打开什么链接等信息。保存为 .url 文件并双击后,Windows 将在默认网络浏览器中打开配置的 URL。
不过攻击者发现可以通过在 URL 指令中使用 mhtml: URI 处理程序,来强制 Internet Explorer 打开指定的 URL,如下图所示:
MHTML 是一种 "聚合 HTML 文档的 MIME 封装" 文件,是 Internet Explorer 中引入的一种技术,可将包括图像在内的整个网页封装成一个单一的档案。
攻击者使用 mhtml: URI 启动 URL 后,Windows 会自动在 Internet Explorer 中启动 URL,而不是默认浏览器。漏洞研究人员 Will Dormann 称,在 Internet Explorer 中打开网页会给攻击者带来额外的好处,下载恶意文件时安全警告较少。尽管微软早在两年前就宣布停止支持该浏览器,并以 Edge 代替其所有实用功能,但这款过时的浏览器仍可被恶意调用和利用。