CVE-2014-4114 和 CVE-2014-3566



这两天关注安全的人员都会特别留意这两个新披露的漏洞：CVE-2014-4114 和 CVE-2014-3566。以下我们就针对这两个漏洞最一些简要说明。

CVE-2014-4114
-------------------------

这个漏洞已经在本周公布的MS14-060更新中被修复，我们建议用户尽快部署安装此安全更新来防范相关的潜在威胁。这个漏洞存在于Windows系统对于OLE内嵌对象的处理方式中。因此尽管是一个操作系统层面的漏洞。但最为常见的载体却是Office文档等支持OLE对象的文件。

作为缓解措施和安全最佳实践。我们建议全部用户在打开不论什么来源不明的文档时要特别注意，尽量不要直接打开由陌生人发送或分享的Office、PDF等文档。有关此漏洞的很多其它技术分析内容，大家能够參考http://www.freebuf.com/news/46956.html。

CVE-2014-3566
-------------------------

在这个漏洞最初被曝光的时候，非常多人将其和不久前的OpenSSL心脏出血（Heartbleed）漏洞相提并论。觉得其危害性堪比Heartbleed。

只是事实的情况并非如此。眼下CVE-2014-3566的主要危害是泄露用户在SSL加密通道中的信息。比方cookie等。但攻击者要实现这一攻击首先要在用户的网络环境中能够截获client和server之间的通信，其次攻击者须要发送大量的请求才干获得一个cookie的完整内容，理论上是发送256次请求能够获得一个字节的信息。因此攻击实施的效率并非太好。

有关此漏洞的技术分析能够參考http://drops.wooyun.org/papers/3194。

这是一个专门针对SSL 3.0的信息泄露漏洞。TLS并不受影响。由于SSL 3.0是一个业界的安全协议，所以它不仅影响微软的Windows系统。还相同影响全部支持SSL 3.0的其它系统和应用。也正是由于这是一个业界协议标准中的安全漏洞，修复起来就没有那么easy，微软眼下无法直接公布一个更新来更改SSL 3.0协议的处理方式。

对于SSL 3.0协议还须要众多厂商和标准组织一起參与，来做出最合适的决定。微软眼下也没有计划全面在Windows中禁用SSL 3.0。原因是如今还有非常大量的server不能支持TLS而仅仅支持SSL，因此全面禁用SSL 3.0势必会造成大量的兼容性问题。对于普通用户而言，我们还是将禁用SSL 3.0作为针对此漏洞的缓解措施。在禁用SSL 3.0后当然client不用再操心由于这个漏洞而导致的信息泄露，但假设用户发现某些HTTPS站点无法訪问，那非常可能是由于该站点仅仅支持SSL。详细在Windows或IE中禁用SSL 3.0的方式请大家參考微软的安全通报3009008。

程凌

微软大中华区安全项目经理