Microsoft 安全公告 MS15-006 - 重要

Windows 错误报告中的漏洞可能允许安全功能规避 (3004365)

发布日期: 2015 年 1 月 13 日 | 更新时间: 2015 年 7 月 22 日

版本: 2.0

摘要

此安全更新可解决 Windows 错误报告 (WER) 中一个私下报告的漏洞。 如果被攻击者成功利用,该漏洞可能允许安全功能规避。 成功利用此漏洞的攻击者可能会获取对运行中进程内存的访问权限。 在系统上配置为具有较少用户权限的用户帐户比具有管理员权限的用户帐户所受影响要小。

对于 Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 的所有受支持版本,此安全更新的等级为“重要”。 有关详细信息,请参阅“受影响的软件”部分。

此安全更新通过更正 WER 与进程的交互方法来解决该漏洞。 有关此漏洞的详细信息,请参阅“漏洞信息”一节中的特定漏洞。

有关此更新的详细信息,请参阅 Microsoft 知识库文章 3004365

受影响的软件

以下软件版本都受到影响。 未列出的版本的支持生命周期已结束或者不受影响。 要确定软件版本的支持生命周期,请参阅 Microsoft 支持生命周期

受影响的软件 

**操作系统** **最大安全影响** **综合严重等级** **替代的更新**
**Windows 8 和 Windows 8.1**
[Windows 8(用于 32 位系统)](https://www.microsoft.com/zh-cn/download/details.aspx?id=45388) (3004365) 安全功能规避 重要 [MS14-071](https://technet.microsoft.com/zh-cn/library/security/ms14-071) 中的 3005607
[Windows 8(用于基于 x64 的系统)](https://www.microsoft.com/zh-cn/download/details.aspx?id=45363) (3004365) 安全功能规避 重要 [MS14-071](https://technet.microsoft.com/zh-cn/library/security/ms14-071) 中的 3005607
[Windows 8.1(用于 32 位系统)](https://www.microsoft.com/zh-cn/download/details.aspx?id=45367) (3004365) 安全功能规避 重要 [MS14-071](https://technet.microsoft.com/zh-cn/library/security/ms14-071) 中的 3005607
[Windows 8.1(用于基于 x64 的系统)](https://www.microsoft.com/zh-cn/download/details.aspx?id=45378) (3004365) 安全功能规避 重要 [MS14-071](https://technet.microsoft.com/zh-cn/library/security/ms14-071) 中的 3005607
**Windows Server 2012 和 Windows Server 2012 R2**
[Windows Server 2012](https://www.microsoft.com/zh-cn/download/details.aspx?id=45358) (3004365) 安全功能规避 重要 [MS14-071](https://technet.microsoft.com/zh-cn/library/security/ms14-071) 中的 3005607
[Windows Server 2012 R2](https://www.microsoft.com/zh-cn/download/details.aspx?id=45356) (3004365) 安全功能规避 重要 [MS14-071](https://technet.microsoft.com/zh-cn/library/security/ms14-071) 中的 3005607
**Windows RT 和 Windows RT 8.1**
Windows RT[1] (3004365) 安全功能规避 重要 [MS14-071](https://technet.microsoft.com/zh-cn/library/security/ms14-071) 中的 3005607
Windows RT 8.1[1] (3004365) 安全功能规避 重要 [MS14-071](https://technet.microsoft.com/zh-cn/library/security/ms14-071) 中的 3005607
**服务器核心安装选项**
[Windows Server 2012](https://www.microsoft.com/zh-cn/download/details.aspx?id=45358)(服务器核心安装) (3004365) 安全功能规避 重要
[Windows Server 2012 R2](https://www.microsoft.com/zh-cn/download/details.aspx?id=45356)(服务器核心安装) (3004365) 安全功能规避 重要

[1]此更新仅通过 Windows Update 提供。

更新常见问题

此更新是否包含任何安全相关的功能变化?
是的。 除了此公告的“漏洞信息”部分列出的更改之外,此更新还包含一个 WER 的纵深防御更新。

严重等级和漏洞标识符

以下严重等级假设漏洞的可能的最大影响。 有关在此安全公告发布 30 天内漏洞利用的安全等级和安全影响的可能性的信息,请参阅 1 月份公告摘要中的利用指数。

**按受影响软件列出的漏洞严重等级和最大安全影响**
**受影响的软件** [**Windows 错误报告安全功能规避漏洞 - CVE-2015-0001**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-0001) **综合严重等级**
**Windows 8 和 Windows 8.1**
Windows 8(用于 32 位系统) **重要**  安全功能规避 **重要**
Windows 8(用于基于 x64 的系统) **重要**  安全功能规避 **重要**
Windows 8.1(用于 32 位系统) **重要**  安全功能规避 **重要**
Windows 8.1(用于基于 x64 的系统) **重要**  安全功能规避 **重要**
**Windows Server 2012 和 Windows Server 2012 R2**
Windows Server 2012 **重要**  安全功能规避 **重要**
Windows Server 2012 R2 **重要**  安全功能规避 **重要**
**Windows RT 和 Windows RT 8.1**
Windows RT **重要**  安全功能规避 **重要**
Windows RT 8.1 **重要**  安全功能规避 **重要**
**服务器核心安装选项**
Windows Server 2012(服务器核心安装) **重要**  安全功能规避 **重要**
Windows Server 2012 R2(服务器核心安装) **重要**  安全功能规避 **重要**

漏洞信息

Windows 错误报告安全功能规避漏洞 - CVE-2015-0001

Windows 错误报告 (WER) 允许管理用户查看由“受保护的轻型进程”保护的进程的内存内容,而安全功能规避漏洞正是存在于该错误报告中。 “受保护的轻型进程”禁止由系统上的任意用户(包括管理用户)调试关键系统进程。 成功利用此漏洞的攻击者能够访问由“受保护的轻型进程”保护的运行中进程的内存内容。

“受保护的轻型进程”旨在帮助缓解恶意用户已经拥有管理权限并试图收集其他凭据,以方便对其他系统展开横向攻击的攻击情况。

攻击者必须拥有有效的登录凭据并能使用管理员特权在本地登录才能利用此漏洞。 此更新通过更正 WER 与进程的交互方法来解决该漏洞。

Microsoft 通过协调漏洞披露渠道了解到有关此漏洞的信息。 在发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。

缓解因素

以下缓解因素在您遇到的情形中可能会有所帮助:

  • 攻击者必须拥有有效的登录凭据并能使用管理员特权在本地登录才能成功利用此漏洞。

变通办法

Microsoft 并未发现此漏洞的任何变通办法

安全更新部署

有关安全更新部署信息,请参阅“摘要”中此处引用的 Microsoft 知识库文章。

鸣谢

Microsoft 通过可靠的漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。 有关详细信息,请参阅鸣谢

免责声明

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。 Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。 有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

  • V1.0(2015 年 1 月 13 日): 已发布公告。
  • V1.1(2015 年 1 月 21 日): 公告经过修订,以更正“受影响的软件”和“严重等级”表中的服务器核心安装条目。 这仅仅是一个信息更改。 已经成功安装了此更新的客户不需要执行任何操作。
  • V2.0(2015 年 7 月 22 日): 公告经过修订,以通知客户 2015 年 7 月 14 日将向 Windows 8.1 和 Windows Server 2012 R2 系统重新提供 3004365 更新。 此更新提供的纵深防御措施超出了 2015 年 1 月 13 日发布的最初更新。运行这些系统且已成功应用此更新的客户应重新安装此更新,以免受本公告中描述的漏洞危害。

页面生成时间:2015-07-22 10:09Z-07:00。