摘要
增强的缓解体验工具包 (EMET) 是一种可以帮助阻止软件中的漏洞被利用的实用程序。 EMET 通过使用安全缓解技术来实现此目的。 这些技术用作特殊防护和阻挡,导致利用者必须攻克障碍才能利用软件漏洞。 这些安全缓解技术不保证这些漏洞不被利用。 而是尽量使漏洞的利用变得尽可能困难。 有关 EMET 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
2458544 增强的缓解体验工具包 当 EMET 缓解技术应用于某个软件或某种软件时可能会出现兼容性问题,这是因为受保护软件的行为方式类似于利用软件漏洞的方式。 本文介绍了通常与 EMET 的缓解功能存在兼容性问题的几种软件,并提供了与 EMET 的一项或多项缓解功能出现兼容性问题的产品列表。
更多信息
一般指南
EMET 缓解技术工作在操作系统中很低的层次上,有几种软件也执行类似的低层操作,当这些软件配置为使用 EMET 进行保护时,就可能会出现兼容性问题。 下面列出了不得受 EMET 保护的软件种类:
-
反恶意软件和入侵防护或检测软件
-
调试程序
-
使用数字版权管理 (DRM) 技术的软件(即,视频游戏)
-
使用反调试、软件混淆或挂钩技术的软件
某些基于主机的入侵防护系统 (HIPS) 应用程序可以提供类似于 EMET 的保护。 当这些应用程序与 EMET 一起安装在系统中时,可能需要进行额外的配置以使这两种产品得以共存。
此外,EMET 计划用于桌面应用程序,所以,应该只对接收或处理不可信数据的这些应用程序进行保护。 系统和网络服务也不在 EMET 的作用域内。 此外,虽然从技术上讲可以使用 EMET 保护这些服务,但我们不建议你这么做。应用程序兼容性列表
以下列表中是已经与 EMET 提供的缓解功能出现兼容性问题的具体产品。 如果想要使用 EMET 来保护这些产品,必须禁用不兼容的特定缓解功能。 请注意,该列表已经考虑了产品最新版本的默认配置。 当你向标准软件应用特定的加载项或其他组件时,可能会遇到兼容性问题。
不兼容的缓解功能
产品 |
EMET 4.1 更新 1 |
EMET 5.2 |
EMET 5.5 及更新版本 |
---|---|---|---|
.NET 2.0/3.5 |
导出地址过滤(EAF)/导入地址过滤(IAF) |
EAF/IAF |
EAF/IAF |
7-Zip Console/GUI/File Manager |
(EAF) |
EAF |
EAF |
AMD 62xx 处理器 |
EAF |
EAF |
EAF |
Beyond Trust Power Broker |
不适用 |
EAF、EAF+、Stack Pivot |
EAF、EAF+、Stack Pivot |
某些 AMD/ATI 视频驱动程序 |
System ASLR=AlwaysOn |
System ASLR=AlwaysOn |
System ASLR=AlwaysOn |
DropBox |
EAF |
EAF |
EAF |
Excel Power Query、Power View、Power Map 和 PowerPivot |
EAF |
EAF |
EAF |
Google Chrome |
SEHOP* |
SEHOP* |
SEHOP*、EAF+ |
Google Talk |
DEP、SEHOP* |
DEP、SEHOP* |
DEP、SEHOP* |
Immidio Flex+ |
不适用 |
EAF |
EAF |
McAfee HDLP |
EAF |
EAF |
EAF |
Microsoft Office Web Components (OWC) |
System DEP=AlwaysOn |
System DEP=AlwaysOn |
System DEP=AlwaysOn |
Microsoft PowerPoint |
EAF |
EAF |
EAF |
Microsoft 团队 |
SEHOP* |
SEHOP* |
SEHOP*、EAF+ |
Microsoft Word |
Heapspray |
不适用 |
不适用 |
Oracle Javaǂ |
Heapspray |
Heapspray |
Heapspray |
Pitney Bowes Print Audit 6 |
SimExecFlow |
SimExecFlow |
SimExecFlow |
Siebel CRM 版本为 8.1.1.9 |
SEHOP |
SEHOP |
SEHOP |
Skype |
EAF |
EAF |
EAF |
SolarWinds Syslogd Manager |
EAF |
EAF |
EAF |
VLC Player 2.1.3+ |
SimExecFlow |
不适用 |
不适用 |
Windows Media Player |
MandatoryASLR、EAF、SEHOP* |
MandatoryASLR、EAF、SEHOP* |
MandatoryASLR、EAF、SEHOP* |
Windows 照片库 |
Caller |
不适用 |
不适用 |
* 仅限于在 Windows Vista 和较早版本上 ǂ 在运行 EMET 缓解技术时,如果使用为虚拟机保留大块内存的设置(即使用 -Xms 选项),那么 EMET 缓解技术与 Oracle Java 之间可能会出现不兼容问题。
常见问题解答
问: 哪些漏洞导致 CVE 被 EMET 阻止?
答: 下表列出了部分 CVE,其已知漏洞一经发现就会受到 EMET 成功阻止:
CVE 编号 |
产品系列 |
---|---|
CVE-2004-0210 |
Windows |
CVE-2006-2492 |
Office |
CVE-2006-3590 |
Office |
CVE-2007-5659 |
Adobe Reader、Adobe Acrobat |
CVE-2008-4841 |
Office |
CVE-2009-0927 |
Adobe Reader、Adobe Acrobat |
CVE-2009-4324 |
Adobe Reader、Adobe Acrobat |
CVE-2010-0188 |
Adobe Reader、Adobe Acrobat |
CVE-2010-0806 |
Internet Explorer |
CVE-2010-1297 |
Adobe Flash Player、Adobe AIR、Adobe Reader、Adobe Acrobat |
CVE-2010-2572 |
Office |
CVE-2010-2883 |
Adobe Reader、Adobe Acrobat |
CVE-2010-3333 |
Office |
CVE-2010-3654 |
Adobe Flash Player |
CVE-2011-0097 |
Office |
CVE-2011-0101 |
Office |
CVE-2011-0611 |
Adobe Flash Player、Adobe AIR、Adobe Reader、Adobe Acrobat |
CVE-2011-1269 |
Office |
CVE-2012-0158 |
Office、SQL Server、Commerce Server、Visual FoxPro、Visual Basic |
CVE-2012-0779 |
Adobe Flash Player |
CVE-2013-0640 |
Adobe Reader、Adobe Acrobat |
CVE-2013-1331 |
Office |
CVE-2013-1347 |
Internet Explorer |
CVE-2013-3893 |
Internet Explorer |
CVE-2013-3897 |
Internet Explorer |
CVE-2013-3906 |
Windows、Office |
CVE-2013-3918 |
Windows |
CVE-2013-5065 |
Windows |
CVE-2013-5330 |
Adobe Flash Player、Adobe AIR |
CVE-2014-0322 |
Internet Explorer |
CVE-2014-0497 |
Adobe Flash Player |
CVE-2014-1761 |
Office、SharePoint |
CVE-2014-1776 |
Internet Explorer |
CVE-2015-0313 |
Adobe Flash Player |
CVE-2015-1815 |
Internet Explorer |
问: 如何使用 MSIEXEC 命令或注册表命令卸载 Microsoft EMET 5.1? 答: 请参阅以下 TechNet 主题中的参考:
Msiexec(命令行选项) 问: 如何禁用 Watson 错误报告 (WER)? 答: 请参阅以下 Windows 和 Windows Server 文章中的参考:
第三方信息免责声明
本文中提到的第三方产品由 Microsoft 以外的其他公司提供。 Microsoft 不对这些产品的性能或可靠性提供任何明示或暗示性担保。