Windows TCP/IP协议栈存在严重远程安全漏洞

　　综述：

　　微软发布了1月份的2篇安全公告，这些公告描述并修复了3个安全漏洞，其中1个漏洞属于“紧急”风险级别。其中MS08-001中修复了两个WindowsTCP/IP协议实现中的远程漏洞，攻击者无需身份认证即可匿名发起攻击，利用这些漏洞可能远程入侵并完全控制客户端系统。

　　我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响，并按照我们提供的解决方法予以解决。

　　分析：

　　微软发布了1月份的2篇最新的安全公告：MS08-001到MS08-002。这些安全公告分别描述了3个安全问题，分别是有关各版本的MicrosoftWindows产品中的漏洞。

　　1.MS08-001-WindowsTCP/IP中的漏洞可能允许远程执行代码

　　受影响软件:

　　MicrosoftWindows2000ServicePack4

　　WindowsXPServicePack2

　　WindowsXPProfessionalx64Edition和WindowsXPProfessionalx64EditionServicePack2

　　WindowsServer2003ServicePack1和WindowsServer2003ServicePack2

　　WindowsServer2003x64Edition和WindowsServer2003x64EditionServicePack2

　　WindowsServer2003SP1（用于基于Itanium的系统）以及WindowsServer2003SP2（用于基于Itanium的系统）

　　WindowsVista

　　WindowsVistax64Edition

　　漏洞描述:

　　Windows内核处理存储IGMPv3和MLDv2查询状态的TCP/IP结构的方式导致Windows内

　　核中存在远程执行代码漏洞。匿名攻击者可以通过在网络上向计算机发送特制的

　　IGMPv3和MLDv2报文来利用此漏洞。成功利用此漏洞的攻击者可以完全控制受影响

　　的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用

　　户权限的新帐户。

　　Windows内核处理碎片路由器广播ICMP查询的方式导致TCP/IP中存在拒绝服务漏洞。

　　匿名攻击者可以通过在网络上向计算机特制的ICMP报文利用此漏洞，导致计算机

　　停止响应和自动重新启动。但利用此漏洞所必须的ICMP路由发现协议（RDP）不是

　　默认启用的。

　　临时解决方案:

　　* 禁止处理IGMP和MLD

　　1. 单击“开始”，单击“运行”，键入regedit，然后单击“确定”。

　　2. 展开 HKEY_LOCAL_MACHINE。

　　3. 依次展开SYSTEM、CurrentControlSet和Services。

　　4. 依次展开TCPIP、Parameters和IGMPLevel。

　　5. 将DWORD值更改为0。

　　注意：您必须重新启动系统以使更改生效。

　　* 在周边防火墙上阻止IGMP和MLD

　　* 在Vista防火墙上阻止入站的IGMP和MLD

　　单击“控制面板”，单击“管理工具”，然后双击“高级安全Windows防火墙”。

　　阻止IGMP：

　　1. 选择“入站规则”。

　　2. 选择“核心网络 - Internet组管理协议（IGMP-In）”。

　　3. 右键单击“选择属性”。

　　4. 选择“阻止连接”。

　　阻止MLD：

　　1. 选择“入站规则”。

　　2. 选择“核心网络 - 多播侦听程序查询（ICMPv6-In）”。

　　3. 右键单击“选择属性”。

　　4. 选择“阻止连接”。

　　* 禁止处理路由器发现协议

　　1. 单击“开始”，单击“运行”，键入regedit，然后单击“确定”。

　　2. 展开 HKEY_LOCAL_MACHINE。

　　3. 依次展开SYSTEM、CurrentControlSet和Services。

　　4. 依次展开TCPIP、Parameters和Interfaces。

　　5. 选择interface_name并将PerformRouterDiscovery值设置为0。

　　注意：您必须重新启动系统以使更改生效。

　　厂商补丁:

　　微软已经提供了安全补丁以修复此安全漏洞，我们建议您使用Windows系统自带的

　　"Windows update"功能下载最新补丁。

　　您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:

　　http://www.microsoft.com/china/technet/security/bulletin/MS08-001.mspx

　　2. MS08-002 - LSASS中的漏洞可能允许本地权限提升

　　受影响系统:

　　Microsoft Windows 2000 Service Pack 4

　　Windows XP Service Pack 2

　　Windows XP Professional x64 Edition和Windows XP Professional x64 Edition Service Pack 2

　　Windows Server 2003 Service Pack 1和Windows Server 2003 Service Pack 2

　　Windows Server 2003 x64 Edition和Windows Server 2003 x64 Edition Service Pack 2

　　Windows Server 2003 SP1（用于基于Itanium的系统）以及Windows Server 2003 SP2（用于基于Itanium的系统）

　　漏洞描述:

　　LSASS过程没有正确的处理特制LPC请求，当LSASS进程收到特制的LCP请求时，攻

　　击者就可以以提升的权限运行代码。成功利用此漏洞的攻击者可以完全控制受影

　　响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全

　　用户权限的新帐户。

　　临时解决方案:

　　无

　　厂商补丁:

　　微软已经提供了安全补丁以修复此安全漏洞，我们建议您使用Windows系统自带

　　的"Windows update"功能下载最新补丁。

　　您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:

　　http://www.microsoft.com/china/technet/security/bulletin/MS08-002.mspx