Microsoft 安全公告 MS07-010

由于 Microsoft 恶意软件保护引擎分析 Portable Document Format (PDF) 文件方法的缘故，该引擎中存在远程执行代码漏洞。 目标计算机系统收到 PDF 文件或 Microsoft 恶意软件保护引擎扫描 PDF 文件时，攻击者可能会通过构建特制的 PDF 文件来利用此漏洞，该文件可能允许远程执行代码。

我们并未发现此漏洞的任何缓解因素。

Top of section

•	在同一系统上，Microsoft Forefront Security Server for Exchange、Microsoft Forefront Security Server for SharePoint 和 Microsoft Antigen 除了支持 Microsoft 恶意软件保护引擎外还支持多种引擎。 如果受影响系统上有多个引擎可用，管理员可以禁用恶意软件保护引擎作为变通，直到可以更新 Microsoft 恶意软件保护引擎。 禁用 Microsoft 恶意软件保护引擎之前，管理员应确保已为任何第三方防病毒引擎安装最新的病毒签名。
•	我们并未发现 Windows Live OneCare 和 Microsoft Windows Defender 的任何变通办法。

Top of section

此漏洞的影响范围有多大？
由于 Microsoft 恶意软件保护引擎分析 Portable Document Format (PDF) 文件方法的缘故，该引擎中存在远程执行代码漏洞。 目标计算机系统收到 PDF 文件或 Microsoft 恶意软件保护引擎扫描 PDF 文件时，攻击者可能会通过构建特制的 PDF 文件来利用此漏洞，该文件可能允许远程执行代码。

造成漏洞的原因是什么？
处理特制 PDF 文件时，Microsoft 恶意软件保护引擎中出现整数溢出。

什么是 Microsoft 恶意软件保护引擎？
Microsoft 恶意软件保护引擎 (mpengine.dll) 可为以下防病毒和反间谍软件客户端提供扫描、监测和清除功能。 Windows Live OneCare、Microsoft Forefront Security、Microsoft Antigen、和 Windows Defender。

攻击者可能利用此漏洞执行什么操作？
成功利用此漏洞的攻击者可导致远程执行代码，并可完全控制受影响的系统。

哪些人可能会利用此漏洞？
任何可向受影响系统传送特制 PDF 的匿名用户都可以尝试利用此漏洞。

攻击者如何利用此漏洞？
攻击者可能通过创建特制 PDF 附件并强制受影响的系统处理该 PDF 来试图利用此漏洞。 当目标计算机上的 Microsoft 恶意软件保护引擎自动扫描 PDF 时，该 PDF 可能导致受影响系统执行任意代码。

最后，攻击者还可能制作特制的 PDF 用于网站。 攻击者无法强迫用户访问特定网站。 相反，攻击者必须劝诱用户访问该网站，通常是让用户单击通向攻击者站点的链接。

受此漏洞威胁最大的系统有哪些？
任何使用 Microsoft 恶意软件保护引擎和其筛选器设置允许 PDF 文件处理的 Microsoft Antivirus 客户端被都会受到威胁。

此更新有什么作用？
此更新通过修改 Microsoft 恶意软件保护引擎在将 PDF 中的数据传递到所分配缓冲区之前验证其长度的方法，从而消除了整数溢出的漏洞。

发布此安全公告时，此漏洞是否已公开披露？
否。 Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。 在最初发布此安全公告时，Microsoft 未收到任何表明此漏洞已公开披露的信息。 此安全公告解决了漏洞以及通过内部调查发现的其他问题。

在发布此安全公告时，Microsoft 是否收到任何有关此漏洞已被利用的报告？
否。 在最初发布此安全公告时，Microsoft 未收到任何表明此漏洞已被公开用于攻击客户的信息，也没有看到任何发布的概念代码证明示例。

Top of section

先决条件
此安全更新需要 Windows Live OneCare。

重新启动要求

此更新不需要重新启动。 安装程序停止所需的服务，应用此更新，然后重新启动这些服务。 但是，如果由于某种原因而无法停止所需服务，或者正在使用所需文件，则此更新需要重新启动。 如果发生这种情况，将显示一条消息建议您重新启动。

有关可能提示您重新启动计算机的原因的详细信息，请参阅 Microsoft 知识库文章 887012。

删除信息

在 Windows 2000、Windows XP 上使用 Windows Live OneCare 时，此更新无法卸载。

在 Windows Vista 上使用 Windows Live OneCare 时，则可以卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统，请执行以下步骤：

先决条件
此安全更新需要 Microsoft Antigen for Exchange Server 9.x。

重新启动要求

此为自动更新不要求重新启动。

Forefront Server 安全更新服务在 Microsoft Antigen for Exchange Server 内自动更新 Microsoft Antivirus 引擎。 但是，在运行 Microsoft Antivirus 而用户禁用 Microsoft Antivirus 引擎的计算机系统上，用户须通过管理员工具重新启用引擎。 一旦重新启用引擎，则必须单击“立即更新”进行更新。

删除信息

无法卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统，请执行以下步骤：

有关设置 Microsoft Antigen 引擎的说明，请访问以下Microsoft 网站。

先决条件
此安全更新需要 Microsoft Antigen for SMTP Server 9.x。

重新启动要求

此为自动更新不要求重新启动。

Forefront Server 安全更新服务在 Microsoft Antigen for SMTP Server 内自动更新 Microsoft Antivirus 引擎。 但是，在运行 Microsoft Antivirus 而用户禁用 Microsoft Antivirus 引擎的计算机系统上，用户须通过管理员工具重新启用引擎。 一旦重新启用引擎，则必须单击“立即更新”进行更新。

删除信息

无法卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统，请执行以下步骤：

有关设置 Microsoft Antigen 引擎的说明，请访问以下Microsoft 网站。

先决条件
此安全更新需要 Windows Defender。

重新启动要求

此更新不需要重新启动。 安装程序停止所需的服务，应用此更新，然后重新启动这些服务。 但是，如果由于某种原因而无法停止所需服务，或者正在使用所需文件，则此更新需要重新启动。 如果发生这种情况，将显示一条消息建议您重新启动。

有关可能提示您重新启动计算机的原因的详细信息，请参阅 Microsoft 知识库文章 887012。

删除信息

无法从 Windows XP 或 Windows Server 2003 上卸载此更新。

但可以从 Windows Vista 上卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统，请执行以下步骤：

先决条件
此安全更新需要 Forefront Security for Exchange Server 10。

重新启动要求

此为自动更新不要求重新启动。

Forefront Server 安全更新服务在 Forefront Security for Exchange Server 内自动更新 Microsoft 反恶意软件引擎。 但是，在运行 Forefront Security for Exchange Server 而用户禁用 Microsoft 反恶意软件引擎的计算机系统上，用户须通过管理员工具重新启用引擎。 一旦重新启用引擎，则必须单击“立即更新”进行更新。

删除信息

无法卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统，请执行以下步骤：

有关设置 Forefront Server Security for Exchange Server 引擎的说明，请访问以下 Microsoft 网站。

先决条件
此安全更新需要 Forefront Security for SharePoint Server 10。

重新启动要求

此为自动更新不要求重新启动。

Forefront Server 安全更新服务在 Forefront Security for SharePoint Server 内自动更新 Microsoft 反恶意软件引擎。 但是，在运行 Forefront Security for SharePoint Server 而用户禁用 Microsoft 反恶意软件引擎的计算机系统上，用户须通过管理员工具重新启用引擎。 一旦重新启用引擎，则必须单击“立即更新”进行更新。

删除信息

无法卸载此更新。

验证更新安装

要验证更新是否已应用到受影响系统，请执行以下步骤：

有关设置 Forefront Server Security for SharePoint 引擎的说明，请访问以下 Microsoft 网站。