- A+
所属分类:业界关注
HP研究人员Matt Oh表示,微软本来有机会将沙虫(SandWorm)漏洞一举消灭,但由于修复不力导致漏洞依然活跃。 HP指出,沙虫攻击了Windows Object Packager且遇到的问题与2012年微软发布的安全公告MS12-005相似。
Oh指出,他发现MS14-064与之前的补丁有着“惊人的相似之处”,且另一个补丁MS14-060也是为了解决沙虫利用问题。MS12-005以及MS14-060添加代码并通过使用区域标示符标记不安全的文件。在二进制文件执行之前,会在用户屏幕上弹出一个对话框。这样便为用户增加了额外的保护——任何嵌入到Office文档临时文件的对象都应当被认为具有潜在的危险性。
Oh详细说明了沙虫漏洞及其补丁如何运行,但他的评估显然不会取悦微软。他指出,“现在的问题是对同一个漏洞修复了三次。MS12-005补丁引入了MarkFileUnsafe的功能并将其应用到另外两个功能中。现在MS14-060将同样的补丁应用到了另外三个功能中,并且采取了非常相似的措施——拖放文件。MS12-005修复了CPackage::DoVerb功能中存在的扩展验证问题,方法是引入一个特殊注册键开关。MS14-064修复了完全相同的功能中一个非常类似的问题,方法是引入一个特殊注册键及确认消息框。”
Oh指出,基于调查结果,他认为微软本有机会在两年前将沙虫漏洞修复,而不至于被恶意软件作者利用且成为一个问题。然而时光不可逆转,只能并且应该从过去吸取经验教训。
