2010.06.02数据资源平台项目微软官方补丁分析和建设(确认稿)-陈海英

.PAGEꗬÁ@;数据资源平台项目文档 中国电子科技集团公司第三十研究所 PAGE14 上海三零卫士信息安全有限公司、北京三零盛安信息系统有限公司ࠄ上海三零卫士信息安全有限公司2010-本文档版权归上海三零卫士信息安全有限公司所有，未经上海三零卫士信息安全有限公司允许，本文档里的任何内容都不得被用来宣传和传播。未经上海三零卫士信息安全有限公司书面批准，文档或任何类似的资讯都不允许被发布。

文档控制数据资源平台项目补丁数据建设提交方上海三零卫士信息安全有限公司提交日期2010-版本信息日期版本撰写者审核者描述2010-1.0陈海英创建所有权声明文档里的资料版权归上海三零卫士信息安全有限公司（“三零卫士”）所有。未经上海三零卫士信息安全有限公司事先书面允许，不得复制或散发任何部分的内容。任何团体或个人未经批准，擅自观看建议书将被认为获取了上海三零卫士信息安全有限公司的私有信息而遭受法律的制裁。

目录1 补丁信息获取原则 42 补丁信息获取流程 42.1 微软安全公告页面 42.2 公告页面 52.3 补丁信息页面 82.4 补丁下载页面 112.5 关联关系 123附件 124文档确认 13

数据资源平台项目微软官方补丁分析和建设补丁信息获取原则针对Microsoft补丁下载原则：1、以微软公司官方网站为主要源，CVE只作为参考；2、按照下述流程下载所有与厂商相关的补丁，及其补丁信息；补丁信息获取流程微软安全公告页面微软官方网站的安全中心会发布所有微软产品漏洞的相关公告，我们可以直接到微软官方安全中心下载漏洞相关补丁、以及获取相关补丁信息。下面链接是微软公告安全页面有微软所有的已发布的漏洞公告的一个列表（链接命名为：Microsoft安全公告+公告编号+公告名称）：[Web1]/china/technet/security/current.mspx（此页面作用：获取微软各个公告原始链接）点击列表链接进入公告页面。公告页面实例：Microsoft安全公告MS10-031-MicrosoftVisualBasicforApplications中的漏洞可能允许远程执行代码(978213)点击打开地址链接，进入公告页面：[Web2]/china/technet/security/bulletin/MS10-031.mspx从微软的安全公告页面，可以获取到受影响的软件组的补丁下载链接页面和以下几个补丁相关字段：最大安全影响（如图所示：最大安全影响列）重要级别（如图所示：综合严重等级列）修补对象名称（如REF_Ref264638724\h表1修补对象名称所示：受影响的软件的office套件列，例如：Microsoftofficexpservicepack3就是受影响实体）图SEQ图表\*ARABIC1修补对象名称说明：该项也就是受影响软件名称。（=修补对象名称）修补对象类型（如图所示：此三个补丁的修补对象类型都是office套件）图表SEQ图表\*ARABIC2修补对象类型获取与这个公告相关联的CVE_ID号。（在页面的中下部的位置，漏洞信息项下面，如图的CVE_ID是CVE-2010-0815） 说明：公告与CVE漏洞编号存在一对多的关系，有的安全公告有多个CVE编号与之对应，此例仅有一个。补丁简介补丁简介的组成：漏洞描述+此更新有什么作用的回答组成的如图：漏洞描述：MicrosoftVisualBasicforApplications搜索ActiveX控件的方式存在一个远程执行代码漏洞。如果主机应用程序打开一个特制文件并将其传递到VisualBasicforApplicationsruntime，此漏洞可以允许远程执行代码。如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。在漏洞常见问题下面有此更新有什么作用的描述，如图：所以此更新有什么作用的回答是：此更新通过修改MicrosoftVisualBasicforApplications搜索文档中嵌入的ActiveX控件的方式来解决此漏洞。所以与漏洞编号CVE-2010-0815相关的所有补丁的补丁简介具体内容就是：MicrosoftVisualBasicforApplications搜索ActiveX控件的方式存在一个远程执行代码漏洞。如果主机应用程序打开一个特制文件并将其传递到VisualBasicforApplicationsruntime，此漏洞可以允许远程执行代码。如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。此更新通过修改MicrosoftVisualBasicforApplications搜索文档中嵌入的ActiveX控件的方式来解决此漏洞。补丁信息页面点击公告页面里受影响软件中的超链接进入补丁信息页面。Ex：点击第一个链接进入的补丁下载页面：[Web3]/downloads/details.aspx?familyid=72c23b0f-4e24-4334-bc8a-334adc8bc42b&displaylang=en（注：链接过去的页面默认的是英文页面，获取数据的时候在changelanguage处选择简体中文，即可以转化为中文页面，如果有中文页面，请选择中文页面获取对应字段的中文信息。）如图，点击Change按钮：转化后的中文页面（页面上半部分）：此页面需要获取以下相关字段：补丁名称：MicrosoftOfficeXP安全更新(KB976380)说明：补丁名称组成：受影响软件名称+（补丁厂商编号）2、文件名（补丁文件名：FileName）：officexp-KB976380-FullFile-CHS.exe3、快速描述（修补对象详情：BriefDescription）：MicrosoftOfficeXP中存在一个安全漏洞，当您打开经过恶意修改的文件时，该漏洞可能允许任意代码运行。此更新可以消除该漏洞。4、发布日期（发布时间：DatePublished）：5/10/20105、下载大小（补丁文件大小：DownloadSize）：1KB-1.5MB6、概述（Overview）：您可以从Microsoft知识库文章MicrosoftOfficeXP安全更新(KB976380)说明中获取有关此更新的具体信息。说明：这个字段大概内容就是厂商描述（包括危害，防护和实施）。7、支持的操作系统（系统需求：SystemRequirements）（如下图）：Windows2000;WindowsNT;WindowsServer2003;WindowsXP补丁下载页面点击补丁信息页面（[Web３]）的download按钮，直接下载补丁；如果没有直接下载，链接会跳转到下载页面[Web4]/downloads/zh-cn/confirmation.aspx?familyId=72c23b0f-4e24-4334-bc8a-334adc8bc42b&displayLang=zh-cn点击“开始下载”下载该补丁。关联关系漏洞