‍‍‍‍

    一个0day被消灭，一个0day接着出现。正如所料，微软如今修复了外部发现的GDI+图形组件漏洞（MS13-096），该漏洞于一个月前就被外部发现了，直到EXP面世才修复。随着这次12月的周二补丁日修复的11个漏洞中还有5个严重漏洞。

    另一个仅针对WindowsXP的0day漏洞仍未发布有效的补丁。该漏洞于管理Microsoft Telephony API的NDProxy驱动中发现。网上已经有成型的EXP供攻击者使用，微软建议用户关闭NDProxy直到他们发布有效的补丁。

    虽然有5个高危漏洞评级，但专家建议IT管理员优先考虑仅被微软评为“重要”的ASLR绕过漏洞。MS13-106也是由外部发现，攻击者使用网上的EXP直接进行利用。EXP直接利用hxds.dll来绕过ASLR或地址空间随机化。

    微软称：

“如果用户视图能够实例化COM组件，该漏洞将绕过安全功能。本身的安全功能是不允许远程代码执行的。然而攻击者结合其它漏洞采取了ASLR bypass的优势来进行了远程代码执行。”

    ASLR的bypass在今年出现的非常频繁，甚至形成了一个即成的利用工具包。ASLR技术从Vista系统开始引用，内存地址随机化的机制大大减小了远程溢出攻击的风险。

    Tripwire的安全研究员Craig Young说：

“外部使用hxds.dll这种库进行攻击的成功率非常大，因为它能够很方便的通过使用‘ms-help:’ protocol handler的网页来载入内存。如今最有效的避免方式就是删除Office2007/2010或安装微软的Enhanced Mitigation Experience Toolkit (EMET)。“

    另外管理员还需要注意IE浏览器的累积补丁包MS13-097,其中包含了影响今年数月IE6的一些远程代码执行漏洞的修复。

微软还修复了一个签名算法的bugMS13-098。微软表述这个补丁修改了WinVerifyTrust功能，它负责处理windows签名验证的PE文件头。

    Qualys公司的CTO Wolfgang Kandek说：“攻击者利用合法的安全程序来捆绑恶意程序，并下载没有正确检查的签名证书。”系统应当做完整性的签名检查，防止今后再出现类似漏洞。微软还发布了独立的验证码补丁的公告，称2014年6月10日后不再签署不符合规定的二进制文件。

    剩下的两个严重漏洞补丁 MS13-099和MS13-105，修复了Microsoft Scripting Runtime Object Library和ExchangeServer上的代码执行漏洞。注意公告中四个Exchange漏洞中就有三个这类型漏洞被公开披露。微软说最严重的就是WebReady Document Viewing和Exchange Server的DLP功能。

剩下的“重要”补丁中包括一个代码执行的bug，以及三个权限提升及一个信息泄露。

MS13-100修复了Microsoft SharePoint Server中的远程代码执行漏洞。

MS13-101修复了Windows Kernel-Mode Drivers的权限提升漏洞。

MS13-102修复了攻击者通过LRPC客户端提取LRPC服务端权限的漏洞。

MS13-103修复了ASP.NET SignalIR中攻击者可利用其返回Javascript代码给用户浏览器的漏洞。

MS13-104修复了Microsoft Office的信息泄露漏洞，它可能造成攻击者可以获取用户登录SharePoint或Office服务器的token。

    另外微软也发布安全通报撤销私有数字签名。

本文由maxcoco编译自threatpost