安全公告CN-SA06-12
　　发布日期：2006-09-22
　　安全等级：
　　公开程度：公共
　　
　　09月22日，微软公司在其中文网站发布了一个安全通报，本通报中包含新发现漏洞的更新。
　　
　　Microsoft已确认Microsoft Windows实施矢量标记语言(VML)时存在漏洞的新公众报告。Microsoft还获悉可用于利用此漏洞的详细漏洞检测代码已公开发布。根据我们的调查，此漏洞检测代码可能允许攻击者在用户的系统上执行任意代码。Microsoft意识到此漏洞当前正被利用。
　　
　　目前，可解决此漏洞的安全更新正在经过最后的测试，从而确保质量和应用程序兼容性。Microsoft计划在2006年10月10日星期二或之前发布该更新，具体取决于客户需求。
　　
　　鼓励客户使其防病毒软件保持为最新。客户还可以访问Windows Live OneCare安全中心，鼓励使用“全面服务扫描”选项来检查并删除利用此漏洞的恶意软件。我们将继续调查这些公众报告。
　　
　　如果您是Windows Live OneCare用户且您的当前状态为绿色，那么您已得到相关保护，可防止所有恶意软件使用此漏洞尝试攻击系统。
　　
　　Microsoft鼓励用户在打开来自不受信任的来源的电子邮件或电子邮件中的链接时保持谨慎。有关安全浏览的详细信息，请访问可信赖计算网站。
　　
　　我们仍鼓励客户按照“保护您的PC”指导启用防火墙、获取软件更新并安装防病毒软件。客户可以在“保护您的PC”网站上了解有关这些步骤的更多信息。
　　
　　认为他们已经受到攻击的客户应该联系当地的FBI办事处或在网络欺诈申诉中心网站上进行投诉。美国以外的客户应该联系其所在国家或地区的国家执行机构。
　　
　　认为他们已经受到影响的客户也可以联系产品支持服务。美国和加拿大地区的客户可以使用PC安全热线(1 866-PCSAFETY)免费与产品支持服务联系。美国和加拿大以外地区的客户可以访问Microsoft帮助和支持网站找到免费病毒支持的电话号码。
　　
　　减轻影响的因素：
　　
　　在基于Web的攻击情形中，攻击者可能拥有一个网站，并在上面放置用来利用此漏洞的网页。另外，接受或宿主用户提供的内容或广告的网站以及受到破坏的网站可能包含可能利用此漏洞的特制内容。但是在所有情况下，攻击者无法强制用户访问这些网站。相反，攻击者必须说服用户访问该网站，方法通常是让用户单击电子邮件或Instant Messenger消息中的链接以使用户链接到攻击者的网站。
　　
　　成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
　　
　　在基于电子邮件利用此漏洞的攻击情形中，以纯文本格式阅读电子邮件的客户受此漏洞的威胁较小。相反，用户必须单击可能将他们指向恶意网站的链接或打开附件，才会受此漏洞威胁。
　　
　　默认情况下，Windows Server 2003上的Internet Explorer在一种称为“增强安全配置”的受限模式下运行。此模式可缓解此漏洞，因为二进制和脚本行为在Internet区域中默认处于禁用状态。
　　
　　
　　通报目的：向客户提供已公开披露漏洞的初始通知。有关详细信息，请参阅安全通报的“建议措施”部分。
　　
　　通报状态：已确认问题，已计划安全更新。
　　
　　变通办法：Microsoft已测试以下变通办法。尽管这些变通办法不能从根本上消除此漏洞，但它们有助于阻止已知的攻击媒介。如果某种变通办法导致功能下降，具体请查看Microsoft官方网站。
　　
　　
　　截至本公告发稿时止，微软公司已提供针对中文版的相应安全公告和漏洞补丁，CNCERT/CC将陆续在网站上发布各公告的具体内容，请予以关注。也请用户于近期关注微软中文网站，及时安装补丁。
　　
　　受影响系统：
　　
　　Microsoft Windows XP SP2
　　Microsoft Windows XP SP1
　　Microsoft Windows XP Professional x64 Edition
　　Microsoft Windows Server 2003 x64 Edition
　　Microsoft Windows Server 2003 SP1
　　Microsoft Windows 2000SP4
　　
　　参考信息：
　　
　　http://www.microsoft.com/china/technet/security/advisory/925568.mspx
　　
　　http://www.isra.infosec.org.cn/Article/aqgg/200609/6165.html
　　
　　其他信息：
　　CVE编号：CVE-2006-3866
　　首次发布日期：2006-09-22
　　修订次数：0
　　
　　安全公告文档编写：
　　CNCERT/CC
　　
　　CNCERT/CC在发布安全公告信息之前，都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。
　　
　　在任何情况下，如果您确信您的计算机系统受到危害或是攻击，我们鼓励您及时告知国家计算机网络应急技术处理协调中心：http://www.cert.org.cn/servlet/Incident
　　
　　同时，我们也鼓励所有计算机与网络安全研究机构，包括厂商和科研院所，向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站公布漏洞信息及指导受影响用户采取措施以避免损失。
　　
　　如果您发现本公告存在任何问题，请与我们联系：cncert@cert.org.cn