MSRC ppDocument 模板

Microsoft 安全公告 MS16-059 - 重要

Windows Media Center 安全更新程序 (3150220)

发布日期:2016 年 5 月 10 日

版本: 1.0

执行摘要

此安全更新程序修复了 Microsoft Windows 中的一个漏洞。如果 Windows Media Center 打开引用了恶意代码的经特殊设计的 Media Center 链接 (.mcl) 文件,则此漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。

对于安装在 Windows Vista、Windows 7 或 Windows 8.1 上的 Windows Media Center 的所有受支持版本,此安全更新程序等级为“重要”。有关详细信息,请参阅受影响的软件部分。

此安全更新程序通过更正 Windows Media Center 在 .mcl 文件中处理某些资源的方式来解决此漏洞。有关此漏洞的详细信息,请参阅漏洞信息部分。

有关此更新程序的详细信息,请参阅 Microsoft 知识库文章 3150220

受影响的软件和漏洞严重等级

以下软件版本都受到影响。未列出的版本要么是支持生命周期已结束,要么是不受影响。若要确定软件版本的支持生命周期,请参阅 Microsoft 支持生命周期

针对每个受影响的软件标记的严重等级假设漏洞可能造成的最大影响。有关此安全公告发布 30 天内,漏洞利用的严重等级和安全影响的可能性的信息,请参阅 5 月份公告摘要中的利用指数。

**操作系统** **组件** [**Windows Media Center 远程执行代码漏洞 - CVE-2016-0185**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0185) **替代的更新程序**
**Windows Vista**
Windows Vista Service Pack 2 [Windows Media Center ](https://www.microsoft.com/download/details.aspx?familyid=8206f431-c2f4-4c4b-971c-f185a5f88673)(3150220) **重要** 远程执行代码 [MS15-134](https://technet.microsoft.com/zh-cn/library/security/ms15-134) 中的 3108669
Windows Vista x64 Edition Service Pack 2 [Windows Media Center](https://www.microsoft.com/download/details.aspx?familyid=b939f8c1-b282-4534-a833-2e77fb08378e) (3150220) **重要** 远程执行代码 [MS15-134](https://technet.microsoft.com/zh-cn/library/security/ms15-134) 中的 3108669
**Windows 7**
Windows 7(用于 32 位系统)Service Pack 1 [Windows Media Center](https://www.microsoft.com/download/details.aspx?familyid=a8927a54-1bd8-4e7f-9811-aa43be7be4f2) (3150220) **重要** 远程执行代码 [MS15-134](https://technet.microsoft.com/zh-cn/library/security/ms15-134) 中的 3108669
Windows 7(用于基于 x64 的系统)Service Pack 1 [Windows Media Center](https://www.microsoft.com/download/details.aspx?familyid=e52f373e-369d-4347-b304-1dfd74c86749) (3150220) **重要** 远程执行代码 [MS15-134](https://technet.microsoft.com/zh-cn/library/security/ms15-134) 中的 3108669
**Windows 8.1**
Windows 8.1(用于 32 位系统) [Windows Media Center](https://www.microsoft.com/download/details.aspx?familyid=d8e79aa9-b405-4a18-a101-806049ca6cbe) (3150220) **重要** 远程执行代码 [MS15-134](https://technet.microsoft.com/zh-cn/library/security/ms15-134) 中的 3108669
Windows 8.1(用于基于 x64 的系统) [Windows Media Center](https://www.microsoft.com/download/details.aspx?familyid=18cdf435-a1f5-4d5d-9e63-f2de7d910d85) (3150220) **重要** 远程执行代码 [MS15-134](https://technet.microsoft.com/zh-cn/library/security/ms15-134) 中的 3108669

漏洞信息

Windows Media Center 远程执行代码漏洞 - CVE-2016-0185

如果 Windows Media Center 打开引用了恶意代码的经特殊设计的 Media Center 链接 (.mcl) 文件,Windows Media Center 中存在的漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以控制受影响的系统。那些帐户被配置为拥有较少用户权限的用户比具有管理用户权限的用户受到的影响要小。工作站受此漏洞的威胁最大。

要利用此漏洞,需要进行用户交互。在 Web 浏览情形中,用户将被迫导航至攻击者用于托管恶意 .mcl 文件的已入侵网站。在电子邮件攻击情形中,攻击者必须说服已登录到容易受攻击的工作站上的用户单击电子邮件中经特殊设计的链接。此安全更新程序通过更正 Windows Media Center 在 .mcl 文件中处理某些资源的方式来解决此漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接:

漏洞标题

CVE 编号

公开披露

已被利用

Windows Media Center 远程执行代码漏洞

CVE-2016-0185

### 缓解因素 Microsoft 并未发现此漏洞的任何[缓解因素](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 ### 变通办法 以下[变通办法](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)在您遇到的情形中可能会有所帮助: **删除 MCL 文件关联** - **要使用交互方法,请执行以下操作:** **注意** 如果注册表编辑器使用不当,则可能会导致严重问题发生,届时您可能必须重新安装操作系统。Microsoft 无法保证能够解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器的风险由您自己承担。若要了解如何编辑注册表,请查看注册表编辑器 (Regedit.exe) 中的“更改项和值”帮助主题,或查看 Regedt32.exe 中的“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。 1. 依次单击“开始”和“运行”,键入“regedit”,然后单击“确定”。 2. 展开“HKEY\_CLASSES\_ROOT”,单击“MCL”,然后单击“文件”菜单并选择“导出”。 3. 在“导出注册表文件”对话框中,键入 **MCL HKCR file association registry backup.reg**,然后单击“保存”。 默认情况下,此操作将在“我的文档”文件夹中创建此注册表项的备份。 4. 按下 **Delete** 键,删除此注册表项。当系统提示您删除注册表值时,请单击“是”。 5. 依次展开“HKEY\_CURRENT\_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Explorer”和“FileExts”。 6. 单击“.MCL”,然后单击“文件”菜单并选择“导出”。 7. 在“导出注册表文件”对话框中,键入 **MCL HKCU file association registry backup.reg**,然后单击“保存”。 默认情况下,此操作将在“我的文档”文件夹中创建此注册表项的备份。 8. 按下 **Delete** 键,删除此注册表项。当系统提示您删除注册表值时,请单击“是”。   - **要使用管理的部署脚本方法,请执行以下操作:** 1. 使用下列命令备份管理的部署脚本中的注册表项: ``` Regedit.exe /e MCL_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\.MCLRegedit.exe /e MCL_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.MCL ``` 2. 将下列内容保存到扩展名为 .reg 的文件(例如 Delete\_MCL\_file\_association.reg): ``` Windows Registry Editor Version 5.00[-HKEY_CLASSES_ROOT\.MCL][-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.MCL] ``` 3. 在目标计算机上,使用下列命令运行在**步骤 2** 中创建的注册表脚本:
    **Regedit.exe /s Delete\_EXTENSION\_file\_association.reg**

    **如何撤消变通办法。**

    1.  使用 Regedit 还原 .REG 文件中保存的设置,从而还原注册表项。

安全更新程序部署

有关安全更新部署信息,请参阅执行摘要中此处引用的 Microsoft 知识库文章。

鸣谢


Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢部分。

免责声明


Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定用途的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

  • V1.0(2016 年 5 月 10 日):公告已发布。

页面生成时间:2016-05-04 11:08-07:00。