[2010.06.02]数据资源平台项目微软官方补丁分析和建设(确认稿)—陈海英.doc

数据资源平台项目（补丁数据）微软官方补丁分析和建设上海三零卫士信息安全有限公司版本1.0，2010-06-02本文档版权归上海三零卫士信息安全有限公司所有，未经上海三零卫士信息安全有限公司允许，本文档里的任何内容都不得被用来宣传和传播。未经上海三零卫士信息安全有限公司书面批准，文档或任何类似的资讯都不允许被发布。文档控制数据资源平台项目补丁数据建设提 交 方上海三零卫士信息安全有限公司提交日期2010-06-02版本信息日期版本撰写者审核者描述2010-06-021.0陈海英创建所有权声明文档里的资料版权归上海三零卫士信息安全有限公司（“三零卫士”）所有。未经上海三零卫士信息安全有限公司事先书面允许，不得复制或散发任何部分的内容。任何团体或个人未经批准，擅自观看建议书将被认为获取了上海三零卫士信息安全有限公司的私有信息而遭受法律的制裁。目录1补丁信息获取原则42补丁信息获取流程42.1微软安全公告页面42.2公告页面52.3补丁信息页面82.4补丁下载页面112.5关联关系123附件124文档确认13数据资源平台项目微软官方补丁分析和建设1 补丁信息获取原则针对Microsoft补丁下载原则：1、以微软公司官方网站为主要源，CVE只作为参考；2、按照下述流程下载所有与厂商相关的补丁，及其补丁信息；2 补丁信息获取流程2.1 微软安全公告页面微软官方网站的安全中心会发布所有微软产品漏洞的相关公告，我们可以直接到微软官方安全中心下载漏洞相关补丁、以及获取相关补丁信息。下面链接是微软公告安全页面有微软所有的已发布的漏洞公告的一个列表（链接命名为：Microsoft 安全公告+公告编号+公告名称）：WebPage-1/china/technet/security/current.mspx（此页面作用：获取微软各个公告原始链接）点击列表链接进入公告页面。2.2 公告页面实例：Microsoft 安全公告 MS10-031 - Microsoft Visual Basic for Applications 中的漏洞可能允许远程执行代码 (978213) 点击打开地址链接，进入公告页面：WebPage-2/china/technet/security/bulletin/MS10-031.mspx从微软的安全公告页面，可以获取到受影响的软件组的补丁下载链接页面和以下几个补丁相关字段：1、 最大安全影响（如图所示：最大安全影响列）2、 重要级别（如图所示：综合严重等级列）3、 修补对象名称（如图 1 修补对象名称所示：受影响的软件的office套件列，例如：Microsoft office xp service pack 3就是受影响实体）图 1 修补对象名称 说明：该项也就是受影响软件名称。（=修补对象名称）4、 修补对象类型（如图所示：此三个补丁的修补对象类型都是office套件）图表 2 修补对象类型5、 获取与这个公告相关联的CVE_ID号。（在页面的中下部的位置，漏洞信息项下面，如图的CVE_ID是CVE-2010-0815）说明：公告与CVE漏洞编号存在一对多的关系，有的安全公告有多个CVE编号与之对应，此例仅有一个。6、 补丁简介补丁简介的组成：漏洞描述+此更新有什么作用的回答组成的 如图：漏洞描述：Microsoft Visual Basic for Applications 搜索 ActiveX 控件的方式存在一个远程执行代码漏洞。 如果主机应用程序打开一个特制文件并将其传递到 Visual Basic for Applications runtime，此漏洞可以允许远程执行代码。 如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。在漏洞常见问题下面有此更新有什么作用的描述，如图：所以此更新有什么作用的回答是：此更新通过修改 Microsoft Visual Basic for Applications 搜索文档中嵌入的 ActiveX 控件的方式来解决此漏洞。所以与漏洞编号CVE-2010-0815相关的所有补丁的补丁简介具体内容就是：Microsoft Visual Basic for Applications 搜索 ActiveX 控件的方式存在一个远程执行代码漏洞。 如果主机应用程序打开一个特制文件并将其传递到 Visual Basic for Applications runtime，此漏洞可以允许远程执行代码。 如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。此更新通过修改 Microsoft Visual Basic for Applications 搜索文档中嵌入的 ActiveX 控件的方式来解决此漏洞。2.3 补丁信息页面点击公告页面里受影响软件中的超链接进入补丁信息页面。Ex：点击第一个链接进入的补丁下载页面：WebPage-3/downloads/details.aspx?familyid=72c23b0f-4e24-4334-bc8a-334adc8bc42b&displaylang=en（注：链接过去的页面默认的是英文页面，获取数据的时候在change language处选择简体中文，即可以转化为中文页面，如果有中文页面，请选择中文页面获取对应字段的中文信息。）如图，点击Change按钮：转化后的中文页面（页面上半部分）：此页面需要获取以下相关字段：1、 补丁名称：Microsoft Office XP安全更新 (KB976380)说明：补丁名称组成：受影响软件名称 + （补丁厂商编号）2、文件名（补丁文件名：File Name）：officexp-KB976380-FullFile-CHS.exe3、快速描述（修补对象详情：Brief Description）：Microsoft Office XP 中存在一个安全漏洞，当您打开经过恶意修改的文件时，该漏洞可能允许任意代码运行。 此更新可以消除该漏洞。4、发布日期（发布时间：Date Published）：5/10/20105、下载大小（补丁文件大小：Download Size）：1 KB - 1.5 MB6、概述（Overview）：您可以从 Microsoft 知识库文章 Microsoft Office XP 安全更新 (KB976380) 说明中获取有关此更新的具体信息。说明：这个字段大概内容就是厂商描述（包括危害，防护和实施）。7、支持的操作系统（系统需求：System Requirements）（如下图）：Windows 2000; Windows NT; Windows Server 2003; Windows XP2.4 补丁下载页面点击补丁信息页面（WebPage-）的download按钮，直接下载补丁；如果没有直接下载，链接会跳转到下载页面WebPage-4/downloads/zh-cn/confirmation.aspx?familyId=72c23b0f-4e24-4334-bc8a-334adc8bc42b&displayLang=zh-cn点击“开始下载”下载该补丁。2.5 关联关系漏洞补丁关联关系：微软公告页面里面的漏洞描述项有CVE_ID，可以通过CVE_ID号与漏洞相关联，一个安全公告可以对应多个CVE号，一个CVE号可以对应多个安全公告。而补