セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開
Japan Security Team / October 21, 2014 / 9 min read
2014年11月12日,针对此漏洞的安全更新程序已作为安全公告MS14-064发布。
今日,微软发布安全公告3010060「Microsoft OLE漏洞导致远程代码执行」。该公告说明了所有受支持Windows版本中OLE对象处理存在的漏洞细节,并提供了规避措施信息。
※ 日文翻译目前准备中,将在本页面公布后通知。点击上方链接将跳转至英文页面。
微软目前已确认存在利用恶意Microsoft PowerPoint文件实施的有限针对性攻击。漏洞细节确认及调查完成后,微软将采取适当措施,包括通过月度或特别安全更新程序发布。在此期间,建议客户遵循公告中的指导实施规避措施。
■ 受影响环境
- 除Windows Server 2003外所有受支持的Windows版本
■ 潜在影响
恶意用户可能通过以下方式攻击用户:
- 通过电子邮件附件等渠道向用户发送特制Microsoft Office文件(如PowerPoint文件)
- 通过钓鱼邮件诱导用户访问恶意网站,网站托管特制Microsoft Office文件(如PowerPoint文件)并诱导用户打开
若打开特制文件,可能导致远程代码执行。攻击者可借此远程控制计算机执行任意操作。
注意:不打开特制文件即可避免攻击。
补充:包含OLE对象的文件均可能受影响,除Microsoft Office文件外,第三方软件也可能包含OLE文件。
■ 规避措施
通过应用FIX IT解决方案可规避当前已知攻击手法:
- 访问知识库文章3010060
- 点击【启用】(Enable)对应的Fix It(Microsoft Fix it 51026)
- 按照向导执行(Fix It向导仅提供英文版,但可在非英文Windows运行)
注意事项:
- Fix It不支持64位Windows 8/8.1/Server 2012/Server 2012 R2上的64位PowerPoint,需采用其他规避措施
- Fix It向导虽为英文版,但兼容非英文Windows
- 若操作其他计算机,可将自动修复工具保存至U盘或CD后在目标计算机执行
补充说明:
禁用Fix It解决方案需访问知识库文章3010060,执行【禁用】(Disable)对应的Fix It(Fix It 51027)。
■【IT专业人员】其他规避措施
除Fix It外,可通过以下任一方式规避攻击:
- 启用UAC:用户账户控制默认启用。启用UAC后打开恶意文件时会显示UAC警告,未点击警告则不受攻击。若已禁用UAC,请参考安全公告或视频指南重新启用。
- 使用EMET启用缓解措施:通过Enhanced Mitigation Experience Toolkit (EMET) 5.0可防御当前攻击,具体步骤参见安全公告。
- 不打开不可信来源文件:只要不打开特制文件即可避免攻击。
更新记录
- 2014/10/22 13:20:发布安全公告3010060日文页面
- 2014/11/12 09:40:追加说明已通过安全公告MS14-064发布漏洞修复更新
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
![]( "办公AI智能小助手")
