2011年2月9日凌晨，微软2月安全更新发布了12个安全补丁，一举修复了22处漏洞，其中包括一个潜伏期长达19年的Windows“长老”漏洞(MS11-011)，微软为此向全球首先发现该漏洞的360安全中心公开致谢。这是360第二次因独家发现Windows漏洞而受到微软致谢，也是迄今为止国内唯一获此殊荣的个人电脑安全厂商。

基本信息

修复补丁

详细介绍

发现背景

技术分析

漏洞补丁

公开致谢

基本信息

名称：长老漏洞发布修复补丁日期：北京时间2011年2月9日

微软2月安全公告显示，本月漏洞补丁有3个“危急”级别、9个“重要”级别，危害较大的IE“圣诞”漏洞、Windows图形渲染引擎漏洞本次得到了修复。这两个漏洞的信息都已经在网上公开曝光多日，为此360安全卫士还分别发布过临时性补丁。而本次公告中最值得关注的，是一个以潜伏期之长、威胁程度之高而刷新之前所有纪录的“长老”漏洞。

危害：国内安全公司曾形象地形容为“如果把木马病毒比喻成潜入家中的小偷，本地提权漏洞就可以让这个小偷变成家里的主人，想干什么就干什么，装再多防盗设备也会被直接关闭或绕开。”

“长老”自1992年就存在于Windows操作系统中，恶意程序通过修改注册表获取对电脑系统的最高控制权。权限控制是WINDOWS系统安全的基石，也是一切安全软件的基石，一旦这层保护被突破，任何坚固的防御都是无效的。因此，一旦该漏洞被利用，攻击者就可以绕过安全软件的防护对电脑进行肆意破坏（例如：被木马利用盗取银行帐号信息等），而且没有任何措施可以阻止这种行为。

影响操作系统：Windows XP/2003/Vista/2008/Windows 7

修复补丁

Windows内核权限提升漏洞（Windows“长老”漏洞）

安全公告：MS11-011；知识库编号：KB2393802；级别：灰常重要

描述：本补丁修复了Windows内核中一处已经被公开披露的安全漏洞和一处秘密报告的安全漏洞，已经入侵系统的攻击者可能利用这些漏洞提升权限，进一步控制整个系统。

影响操作系统：Windows XP/2003/Vista/2008/Windows 7

详细介绍

360安全专家石晓虹博士介绍说，“长老”漏洞最早出现在1992年的早期Windows NT系统中，并影响到其后的所有Windows版本，比之前谷歌工程师发现的另一个Windows“高龄”漏洞还早一年。利用“长老”漏洞，木马病毒可以获得电脑的最高权限，从而轻而易举地破坏杀毒软件、防火墙、还原系统、沙箱等各类安全软件，使电脑丧失对木马病毒的抵抗力。

中国公司助力微软

360工程师是在2010年10月底率先发现“长老”漏洞的。发现该漏洞的巨大危害后，360安全卫士紧急开发了独家的临时补丁，并主动为用户升级，比微软官方补丁早了两个月；同时，360公司迅速将技术细节通报给了微软应急安全响应中心（MSRC），以协助微软公司制作官方补丁。

按照微软惯例，其官方网站在发布补丁时，会对首先报告漏洞的机构或个人公开致谢，此次微软公司也特别感谢了率先发现“长老”漏洞的360工程师。这是360第二次因率先发现Windows漏洞而受到微软致谢，360安全中心也是迄今为止国内唯一获此殊荣的个人电脑安全厂商。此前的2009年7月，360因独立发现“DirectShow视频开发包”漏洞同样获得了微软的致谢。

微软感谢中国公司助力原文

Acknowledgments

Microsoft thanks the following for working with us to help protect customers:

Zhengwenbin of 360safe for reporting the Driver Improper Interaction with Windows Kernel Vulnerability （CVE-2010-4398）

Guo Bojun for reporting the Driver Improper Interaction with Windows Kernel Vulnerability （CVE-2010-4398）

Wei Zhang for reporting the Driver Improper Interaction with Windows Kernel Vulnerability （CVE-2010-4398）

Marco Giuliani of Prevx for working with us on the Driver Improper Interaction with Windows Kernel Vulnerability （CVE-2010-4398）

std_logic, working with TippingPoint's Zero Day Initiative, for reporting the Windows Kernel Integer Truncation Vulnerability （CVE-2011-0045）

发现背景

2010年11月24日消息，国内某网络安全服务商紧急发布重大安全预警称，由该公司在全球范围率先首家发现的一个“潜伏”了长达18年之久、影响所有Windows版本的高危0day漏洞的攻击代码已在网上扩散，这个被命名为“长老”的漏洞很有可能使全球电脑用户面临新一轮恶性攻击。

据国内安全专家介绍，Windows操作系统自1992年开始就存在着一个本地提权漏洞，可使黑客攻击者获得系统最高控制权，从而轻易破坏和禁用任何安全软件，包括反病毒软件、防火墙、主动防御软件、沙箱和还原系统等，也可以用于绕过Windows Vista/Win7的UAC保护，或者在服务器网站上提升权限，控制整个网络服务器，直接威胁到政府、企业、网吧以及个人电脑用户的信息安全。“这个“潜伏”了18年的高危0day漏洞，会影响包括Windows NT4.0、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows Server 2008等在内的所有Windows操作系统版本。”

发现漏洞的国内公司表示2010年10月底独立发现该漏洞后，已于第一时间将漏洞细节和演示程序通报给了微软应急安全响应中心（MSRC），协助微软制作安全漏洞补丁，以彻底解决该安全问题。而微软方面也已确认这是一个严重的提权漏洞。“如果把木马病毒比喻成潜入家中的小偷，本地提权漏洞就可以让这个小偷变成家里的主人，想干什么就干什么，装再多防盗设备也会被直接关闭或绕开。”此前Stuxnet超级工厂病毒就是利用了另一个Windows本地提权漏洞（CVE-2010-2743），使病毒获得系统控制权，该漏洞是从1995年开始出现，潜伏期长达15年；此外，在2010年1月，谷歌工程师也曾曝光过一个自1993年开始的Windows“高龄”漏洞，而此次发现的这一漏洞堪称“史上最老0day漏洞”。

技术分析

“长老”漏洞发生于Win32k.sys中的一个错误，关系到一个特定的注册表键值，可以使攻击者伪造系统账户，并无限制地访问所有的Windows组件，影响包括Windows NT4.0、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows7、Windows Server 2008等在内的所有主流Windows操作系统版本。

据360安全中心介绍，“长老”漏洞最早出现在1992年的早期Windows NT系统中，并影响到其后的所有Windows版本，比之前谷歌工程师发现的另一个Windows“高龄”漏洞还早一年。利用“长老”漏洞，木马病毒可以获得操作系统的最高权限，像艾滋病一样，攻击电脑安全软件，防火墙、还原系统、沙箱等各种安全软件都会被破坏，从而使电脑无法抵御任何病毒。

漏洞补丁

Windows内核权限提升漏洞（Windows“长老”漏洞）

安全公告：MS11-011；级别：重要

描述：本补丁修复了Windows内核中一处已经被公开披露的安全漏洞和一处秘密报告的安全漏洞，已经入侵系统的攻击者可能利用这些漏洞提升权限，进一步控制整个系统。

影响操作系统：Windows XP/2003/Vista/2008/Windows 7

360安全中心是在2010年10月底独家发现“长老”漏洞的。发现该漏洞的巨大危害性后，360安全卫士紧急开发了独家的临时补丁，并主动为用户升级，比微软官方补丁早了两个月；同时，360迅速将技术细节通报给了微软应急安全响应中心(MSRC)，以协助微软公司制作官方补丁。

“360安全产品有3.5亿用户，每天捕获新增木马样本200万，而大量新木马都是利用漏洞来传播和攻击安全软件，这使得360能够第一时间发现新的漏洞，并用最快速度开发出修复这些漏洞的临时补丁。”360安全专家石晓虹博士表示，在网上出现针对“长老”漏洞和IE“圣诞”漏洞等0day漏洞的攻击时，360安全卫士均迅速发布了独家的临时补丁，及时遏止了漏洞攻击的扩散，而且与之后微软发布的官方补丁完全兼容。

公开致谢

微软2月安全公告就“长老”漏洞向360公司再度公开致谢

按照微软惯例，其官方网站在发布补丁时，会对首先报告漏洞的机构或个人公开致谢。迄今为止，360安全中心是国内唯一获此殊荣的个人电脑安全厂商。在此前的2009年7月，360因独立发现“DirectShow视频开发包”漏洞同样获得了微软的致谢。