据报告称,43%的Microsoft XML用户正在运行存在漏洞的版本。在本文中,安全专家Michael Cobb探讨了如何缓解这一风险。
近日有报道,Microsoft XML Core Services漏洞仍然是电脑用户面临的最大风险之一,超过43%的用户正在运行存在漏洞的版本。您能否解释为什么这些问题依然存在以及缓解问题的最好方法呢?
Michael Cobb:Secunia在对2014年漏洞软件的第二季度报告中指出,Microsoft XML Core Services 4.0 (MSXML)是美国电脑用户面临的最大风险。现在有多种版本的MSXML,这也是4.0版本仍构成风险的原因之一。MSXML 3.0和MSXML 6.0是Windows和IE的一部分,MSXML 5.0则安装在Office 2003和2007中。而MSXML 4.0主要针对构建以XML为中心的应用的开发人员。这些应用会悄然安装MSXML 4.0作为附属物,但在2014年4月以来,该版本不再受微软支持,并不会收到任何进一步的安全更新。
在美国,79%的电脑用户安装了MSXML 4.0,其中,43%仍然在运行存在漏洞的MSXML 4.0 SP 2。为什么会这样?与其他包含在微软产品中的MSXML版本不同,MSXML 4.0独立推出,并被定义为一个“工具”(帮助完成不同任务或一组有限任务的实用工具),因此它有着与一般微软产品不同的支持生命周期。微软认为MSXML 4.0 SP3是与SP2完全不同的产品,它从来没有被发布到自动渠道,这意味着Windows Updates、WSUS和SCCM从来不会将用户或企业从SP2自动更新到SP3。
虽然最近没有公开披露新的漏洞,但在SP2中存在未打补丁的漏洞。早在2010年微软就已经停止支持MSXML 4.0 SP2,正因为此,在2012年7月微软发布针对SP3的关键安全更新MS12-043(修复公开报道的远程代码执行漏洞)时,并没有作为MSXML 4.0 SP2的更新,导致用户未打补丁,易受到攻击。
缓解MSXML 4.0风险的最好方法是检查任何已安装的应用是否还需要它;如果不需要,卸载它。如果旧的应用需要这个特定版本,联系供应商看看是否有升级路径,因为运行不受支持的软件或附件并不是好的做法。
在最低限度的情况下,确保你从MSXML 4.0 SP2升级到SP3;请注意这需要手动更新。然后,确保在下一个自动更新后,安装MS13-002和MS12-043补丁。如果企业的传统软件需要MSXML 4.0,企业应该使用微软的Enhanced Mitigation Experience Toolkit 5.0通过阻止MSXML 4.0在IE以及不属于受信任站点或Intranet区域的网站中运行,来缓解试图利用SP2中未打补丁漏洞的潜在攻击。