MSRC ppDocument 模板

Microsoft 安全公告 MS16-056 - 严重

Windows 日记本安全更新程序 (3156761)

发布日期:2016 年 5 月 10 日

版本: 1.0

执行摘要

此安全更新程序修复了 Microsoft Windows 中的一个漏洞。如果用户打开经特殊设计的日记文件,那么此漏洞可能允许远程执行代码。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。

对于 Windows Vista、Windows 7、Windows 8.1、Windows RT 8.1 和 Windows 10 的所有受支持版本,此安全更新程序的等级为“严重”。有关详细信息,请参阅受影响的软件部分。

此更新程序通过修改 Windows 日记本分析日记文件的方式来修复这个漏洞。有关此漏洞的详细信息,请参阅漏洞信息部分。

有关此更新程序的详细信息,请参阅 Microsoft 知识库文章 3156761

受影响的软件和漏洞严重等级

以下软件版本都受到影响。未列出的版本要么是支持生命周期已结束,要么是不受影响。若要确定软件版本的支持生命周期,请参阅 Microsoft 支持生命周期

针对每个受影响的软件标记的严重等级假设漏洞可能造成的最大影响。若要了解在此安全公告发布 30 天内漏洞被利用的可能性(相对于安全等级和安全影响),请参阅 5 月份公告摘要中的利用指数。

**受影响的软件** [**Windows 日记本内存损坏漏洞 – CVE-2016-0182**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0182) **替代的更新***
**Windows Vista**
[Windows Vista Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=cdd0425e-7697-4c30-8805-8759a6f31733) (3155178) **严重** 远程执行代码
[Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=93d28098-0dc3-46ae-8041-48c2009d4f36) (3155178) **严重** 远程执行代码
**Windows 7**
[Windows 7(用于 32 位系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=04531128-2a38-4b9f-b63a-a368fc789f0a) (3155178) **严重** 远程执行代码
[Windows 7(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=44d46d9c-15be-4d89-9328-0c69eebe6eef) (3155178) **严重** 远程执行代码
**Windows 8.1**
[Windows 8.1(用于 32 位系统)](https://www.microsoft.com/download/details.aspx?familyid=71f0cfd3-5f77-4f74-9659-ea14283f0845) (3155178) **严重** 远程执行代码
[Windows 8.1(用于基于 x64 的系统)](https://www.microsoft.com/download/details.aspx?familyid=3cfe2d76-a1dc-4665-9404-4e240e54b0c5) (3155178) **严重** 远程执行代码
**Windows RT 8.1**
Windows RT 8.1[1] (3155178) **严重** 远程执行代码
**Windows 10**
[Windows 10(用于 32 位系统)](https://support.microsoft.com/zh-cn/kb/3156387)[2] (3156387) **严重** 远程执行代码 [3147461](https://support.microsoft.com/zh-cn/kb/3147461)
[Windows 10(用于基于 x64 的系统)](https://support.microsoft.com/zh-cn/kb/3156387)[2] (3156387) **严重** 远程执行代码 [3147461](https://support.microsoft.com/zh-cn/kb/3147461)
[Windows 10 版本 1511(用于 32 位系统)](https://support.microsoft.com/zh-cn/kb/3156421)[2] (3156421) **严重** 远程执行代码 [3147458](https://support.microsoft.com/zh-cn/kb/3147458)
[Windows 10 版本 1511(用于基于 x64 的系统)](https://support.microsoft.com/zh-cn/kb/3156421)[2] (3156421) **严重** 远程执行代码 [3147458](https://support.microsoft.com/zh-cn/kb/3147458)

[1]您可以通过 Windows 更新获取适用于 Windows RT 8.1 的更新程序。

[2]Windows 10 更新程序是累积更新。除非安全更新程序外,每月安全发布还包括用于影响 Windows 10 的漏洞的所有安全修补程序。您可以通过 Microsoft 更新目录获取这些更新程序。

*“替代的更新程序”列仅显示任一系列被取代的更新程序中最新的更新程序。有关替代的更新程序的完整列表,请转到 Microsoft 更新目录,搜索更新程序知识库文章编号,然后查看更新程序详细信息(替代的更新程序信息位于“程序包详细信息”选项卡中)。

漏洞信息

Windows 日记本内存损坏漏洞 - CVE-2016-0182

如果 Windows 日记本中打开了经特殊设计的日记文件,那么 Microsoft Windows 中就会存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中执行任意代码。如果用户使用管理用户权限登录,则攻击者可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。

若要成功利用此漏洞进行攻击,攻击者必须诱使用户使用受影响的 Windows 日记本版本打开经特殊设计的日记文件。在电子邮件攻击情形中,攻击者可以通过向用户发送经特殊设计的日记文件,并诱使用户打开此文件来利用这个漏洞。此更新程序通过修改 Windows 日记本分析日记文件的方式来修复这个漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接:

漏洞标题

CVE 编号

公开披露

已被利用

Windows 日记本内存损坏漏洞

CVE-2016-0182

### 缓解因素 Microsoft 并未发现此漏洞的任何[缓解因素](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 ### 变通办法 以下[变通办法](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)在您遇到的情形中可能会有所帮助: - **请勿打开可疑的文件附件** 请勿打开从不受信任的源收到的或从受信任的源意外收到的 Windows 日记本 (.jnt) 文件。如果用户打开经特殊设计的文件,那么攻击者可能会利用此漏洞。 在 **WindowsVista** 或 **Windows 7** 上: 1. 依次单击“开始”、“控制面板”和“程序”。 2. 单击“打开或关闭 Windows 功能”。 3. 取消选中“Tablet PC 组件”(在 Windows Vista 系统上,取消选中“Tablet PC 可选组件”)。 4. 单击“确定”。 **变通办法的影响。** 用户将无法使用 Windows 日记本或其他 Tablet PC 组件。 **注意** Windows 8.1 不提供禁用 Windows 日记本的机制。 **如何撤消变通办法**。 1. 依次单击“开始”、“控制面板”和“程序”。 2. 单击“打开或关闭 Windows 功能”。 3. 选中“Tablet PC 组件”(在 Windows Vista 系统上,选中“Tablet PC 可选组件”)。 4. 单击“确定”。   - **删除 .jnt 文件类型关联** **交互方法:** **注意** 如果注册表编辑器使用不当,则可能会导致严重问题发生,届时您可能必须重新安装操作系统。Microsoft 无法保证能够解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器的风险由您自己承担。若要了解如何编辑注册表,请查看注册表编辑器 (Regedit.exe) 中的“更改项和值”帮助主题,或查看 Regedt32.exe 中的“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。 若要使用交互方法删除 .jnt 文件类型关联,请按照下列步骤操作: 1. 依次单击“开始”和“运行”,键入“regedit”,然后单击“确定”。 2. 展开“HKEY\_CLASSES\_ROOT”,单击“jntfile”,然后单击“文件”菜单并选择“导出”。 3. 在“导出注册表文件”对话框中,键入“jntfile HKCR file association registry backup.reg”,然后单击“保存”。默认情况下,此操作将在“我的文档”文件夹中创建此注册表项的备份。 4. 按键盘上的 **Delete** 键,删除此注册表项。当系统提示您删除注册表值时,请单击“是”。 5. 依次展开“HKEY\_CURRENT\_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Explorer”和“FileExts”。 6. 单击“.jnt”,然后单击“文件”菜单并选择“导出”。 7. 在“导出注册表文件”对话框中,键入“.jnt HKCU file association registry backup.reg”,然后单击“保存”。默认情况下,此操作将在“我的文档”文件夹中创建此注册表项的备份。 8. 按键盘上的 **Delete** 键,删除此注册表项。当系统提示您删除注册表值时,请单击“是”。   **使用托管脚本:** **注意** 如果注册表编辑器使用不当,则可能会导致严重问题发生,届时您可能必须重新安装操作系统。Microsoft 无法保证能够解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器的风险由您自己承担。若要了解如何编辑注册表,请查看注册表编辑器 (Regedit.exe) 中的“更改项和值”帮助主题,或查看 Regedt32.exe 中的“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。 若要使用交互式托管脚本删除 .jnt 文件类型关联,请按照下列步骤操作: 1. 使用下列命令和托管部署脚本备份注册表项: ``` Regedit.exe /e jntfile_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\jntfileRegedit.exe /e jnt_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt ``` 2. 将下列内容保存到扩展名为 .reg 的文件(例如 Delete\_jnt\_file\_association.reg)中: ``` Windows Registry Editor Version 5.00[-HKEY_CLASSES_ROOT\jntfile][-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt] ``` 3. 在目标计算机上,使用下列命令运行在第 2 步中创建的上述注册表脚本: ``` Regedit.exe /s Delete_jnt_file_association.reg ```   **变通办法的影响。** 双击 .jnt 文件将不再启动 journal.exe。 **如何撤消变通办法:** 使用注册表编辑器还原 .REG 文件中保存的设置,从而还原注册表项。   - **通过禁用安装的 Windows 功能删除 Windows 日记本** 在 Windows Vista 和 Windows 7 系统上,请按照下列步骤操作: 1. 依次单击“开始”、“控制面板”和“程序”。 2. 单击“打开或关闭 Windows 功能”,然后取消选中“Tablet PC 可选组件”(Windows Vista 系统)或“Tablet PC 组件”(Windows 7 系统)复选框。 3. 单击“确定”。   **变通办法的影响。** Windows 日记本从系统中删除。 **如何撤消变通办法:** 若要在 Windows Vista 或 Windows 7 系统上重新安装 Windows 日记本,请按照下列步骤操作: 1. 依次单击“开始”、“控制面板”和“程序”。 2. 单击“打开或关闭 Windows 功能”,然后选中“Tablet PC 可选组件”(Windows Vista 系统)或“Tablet PC 组件”(Windows 7 系统)复选框。 3. 单击“确定”。   - **拒绝访问 Journal.exe** 若要拒绝访问 Journal.exe,请在管理命令提示符处输入以下命令: ``` > takeown.exe /f "%ProgramFiles%\Windows Journal\Journal.exe"> icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /deny everyone:(F) ```   **变通办法的影响。** Windows 日记本处于无法访问的状态。 **如何撤消变通办法:** 若要恢复访问 Journal.exe,请在管理命令提示符处输入以下命令: ``` > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /remove:d everyone ``` 安全更新程序部署 ---------------- 有关安全更新程序部署信息,请参阅[此处](#kbarticle)引用的 Microsoft 知识库文章(在“执行摘要”中)。 鸣谢 ---- Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅[鸣谢](https://technet.microsoft.com/zh-cn/library/security/mt674627.aspx)部分。 免责声明 -------- Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定用途的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。 修订版本 -------- - V1.0(2016 年 5 月 10 日):公告已发布。 *页面生成时间:2016-05-04 12:01-07:00。*