通过

安全公告

Microsoft 安全公告 MS00-059 - 严重

可用于“Java VM Applet”漏洞的修补程序

更新时间:2009 年 7 月 1 日

版本: 2.0

最初发布: 2000 年 8 月 21 日

总结

Microsoft 发布了一个修补程序,可消除 Microsoft® 虚拟机(Microsoft VM)中的安全漏洞。 如果恶意网站操作员能够欺骗用户访问其网站,该漏洞可能允许他伪装为用户,使用身份访问其他网站,并将信息中继回网站。

受影响的软件:
Microsoft VM 的版本由内部版本号标识,可以使用 JVIEW 工具确定,如常见问题解答中所述。 以下 Microsoft VM 版本受到影响:

  • 3000 系列中的所有内部版本编号为 3315 或更早版本。

常规信息

技术详细信息

技术说明:

Microsoft VM 是 Win32® 操作环境的虚拟机。 它在 Microsoft Windows® 95、98 或 Windows NT® 或 Windows 2000 上运行。 它作为每个操作系统的一部分提供,也是 Microsoft Internet Explorer 的一部分。 Microsoft Internet Explorer 4.x 和 Internet Explorer 5.x 附带的 Microsoft VM 版本包含一个安全漏洞,该漏洞可能允许 Java 小程序在沙盒设置的边界外运行。

根据设计,小程序只能与托管它的网站通信。 但是,此漏洞将允许小程序绕过此限制。 如果用户访问了恶意用户运营的网站,则网站可能会启动一个小程序,该小程序能够与另一个网站建立连接,并将来自 Web 会话的任何信息转发到恶意用户的站点。

会话以访问用户而不是恶意用户的身份进行建立。 因此,该漏洞可用于访问位于防火墙后面的 Intranet 站点、以用户身份访问信息,并将其中继到恶意用户。 唯一的先决条件是恶意用户需要知道或猜测 Intranet 站点的名称。 尽管小程序能够利用用户的凭据向站点进行身份验证,但此漏洞不会提供入侵它们的方法。

常见问题解答

此公告的内容是什么?
Microsoft 安全公告 MS00-059 宣布了修补程序的可用性,该修补程序可消除 Microsoft 虚拟机(Microsoft® VM)中的漏洞。 该漏洞可能允许恶意用户以访问其网站的用户的身份访问其他网站。

漏洞的范围是什么?
此漏洞将允许恶意网站操作员浏览冒充另一个用户的其他网站,即他试图访问其网站的网站。 该漏洞将使恶意用户能够使用其他用户的身份,但不允许他泄露密码或其他信息。 恶意用户需要知道或猜测他希望访问的每个网站的确切名称;对于用户 Intranet 上的站点来说,这可能很困难。

我听说了一些叫做“布朗奥利奇”的东西。 此漏洞是否与此相关? 
否。 “Brown Orifice”是一个程序,利用多个供应商的 Java 实现中的多个漏洞。 此处的漏洞与“Brown Orifice”利用的漏洞不同,尽管其范围和效果与其中一个类似。

所有 Java 程序是否受此漏洞影响?
否。 Java 程序有两个常规类:Java 应用程序,这些应用程序托管在运行所在的同一台计算机上,Java 小程序托管在网站上,并在用户访问该网站时在用户的计算机上运行。 仅 Java 小程序受此漏洞影响。 由于 Java 小程序是不受信任的代码,因此它们被处理方式与 Java 应用程序不同。 它们可在使用“沙盒”的虚拟机中运行,以限制他们可以执行的操作。 通常,沙盒旨在防止 Java 小程序对用户的计算机采取任何不当操作。 此处的漏洞涉及沙盒中的缺陷。

此漏洞的原因是什么?
根据设计,未签名的 Java 小程序只能与托管它的网站通信。 但是,Microsoft VM 中的缺陷可能允许小程序绕过此限制并与另一个网站通信。

小程序被签名的重要性是什么?   用户信任的人员签名的 Applet 可以与其他网站通信,因为它们是受信任的代码。 但是,未签名小程序不受信任,因此不应采取此类操作。 此处的总体问题是,该漏洞允许不受信任的(即未签名的)小程序采取只有受信任小程序才能执行的操作。

允许未签名小程序与其他网站通信有什么问题?
如果恶意网站操作员可以说服用户访问其网站,他可能会在访问用户的计算机上创建一个小程序,该小程序利用了漏洞。 这将允许恶意用户访问冒充访问用户的网站。

那又怎样? 恶意用户不能自己访问网站吗?
在某些情况下,该漏洞不会给恶意用户带来任何好处。 例如,如果他的小程序访问 www.microsoft.com,它不会对他有任何价值,因为 Microsoft 网站已经开放给任何想要访问的人。 但是,假设来访的用户位于公司 Intranet 上。 小程序可以访问 Intranet 上的站点,这些站点通常超出恶意用户的范围、设置 Web 会话并将内容转发到恶意用户的站点。

为什么小程序能够以用户身份浏览网站? 它如何了解他的密码?
小程序将无法了解用户的密码,但在许多情况下(尤其是 Intranet 情况)不需要。 许多 Intranet 配置为允许用户的安全登录凭据,并在网站或其他服务需要时由操作系统自动传递。 在这种情况下,小程序不需要能够实际访问凭据才能使用这些凭据。 它只需与 Intranet 站点建立连接,其他所有操作都会自动发生。 请务必注意,尽管漏洞确实允许小程序使用用户的凭据,但它不允许它泄露它们。 也就是说,小程序既无法读取也不能更改用户的密码。 另一定要注意,如果 Intranet 网站曾经显示一个要求密码的对话,小程序将无法回答它-它只能使用自动身份验证。

Internet 网站怎么样? 这里是否有任何风险?
是的。 如果用户有一个帐户(例如,银行网站)并缓存了 userid 和密码,小程序可以访问该网站并访问个人信息。

我的公司 Intranet 受防火墙保护。 这是否会阻止小程序将信息转发到恶意用户的网站?
否。 请记住,为了受到漏洞的影响,用户需要首先访问恶意用户的网站。 在这种情况下,Web 会话源自防火墙内部,随后的所有中继数据都将在该会话上回退。 这将使小程序能够通过防火墙传递数据。

恶意用户如何知道要访问哪些网站?
他不会。 他需要知道或猜测他希望小程序访问的每个 Intranet 或互联网网站的名称。

小程序除了访问网站之外,还能做任何事情吗?
是的。 除了能够建立 Web 会话(HTTP 或 HTTPS),小程序还可以建立 Telnet 或 FTP 会话。 不过,这些协议的风险远低于 Web 会话。 值得注意的是,小程序无法使用文件:协议建立会话。 也就是说,无法通过此漏洞在本地计算机或远程计算机上查看、添加、更改或删除文件。

是否可以意外利用此漏洞?
否。 在这种情况下,绕过沙盒限制所需的一组步骤极不可能意外发生。

如何实现知道我是否有具有漏洞的 Microsoft VM 版本?
最简单的方法是检查计算机上安装的软件:

  • 如果使用 IE 4.x 或 IE 5.x,则肯定具有受漏洞影响的 VM 版本。 安装的其他软件并不重要;如果已安装 IE 4.x 或 5.x,则 VM 版本受影响。
  • 即使未使用受漏洞影响的 IE 版本,仍可能具有受影响的 Microsoft VM 版本,因为它作为 Visual Studio 等其他产品的一部分提供。 在这种情况下,最佳方案是确定正在使用的 Microsoft VM 版本的内部版本号,并查看是否有受影响的版本。

如何实现确定 Microsoft VM 版本的内部版本号?
打开命令窗口:

  • 在 Windows NT 或 Windows 2000 上,选择“开始”,然后选择“运行”,然后键入“CMD”并按 Enter 键。
  • 在 Windows 95 或 98 上,选择“开始”,然后选择“运行”,然后键入“COMMAND”并按 Enter 键。
  • 在命令提示符下,键入“JVIEW”并按 Enter 键。

版本信息将位于最顶层的右侧。 它将具有类似于“5.00.xxxx”的格式,其中“xxxx”是内部版本号。 例如,如果版本号为 5.00.1234,则内部版本号为 1234。

我已确定内部版本号。 如何实现判断我是否受到影响?
使用此表来确定你是否具有受影响的版本:

生成号 Status
3315 或更早版本 受漏洞影响
所有其他版本 不受漏洞或不支持的 VM 版本的影响

注意: 具有受影响版本的 Microsoft VM 的所有用户都应安装新的 VM 版本。

修复程序的作用是什么?
对各种 VM 生成的修复可还原沙盒限制,以防止此漏洞。

在哪里可以获取修补程序?
安全公告的“修补程序可用性”部分提供了新版本 VM 和修补程序的下载位置。

如何实现使用修补程序?
知识库文章 Q271752 包含有关应用修补程序和更新的 VM 版本的详细说明。

如何判断是否正确安装了修补程序?
知识库文章 Q271752 提供了修补程序包中文件的清单。 验证是否已正确安装修补程序的最简单方法是验证计算机上是否存在这些文件,并具有相同的大小和创建日期,如知识库(KB)文章中所示。

注意: 无论从 Jview 查看的版本号如何,上述文章中所述的注册表项都应是正确安装此修补程序的确定因素。

Microsoft 对此有何操作?

  • Microsoft 提供了一个可消除漏洞的修补程序。
  • Microsoft 提供了一份 安全公告 和本常见问题解答,可让客户详细了解漏洞和消除漏洞的过程。
  • Microsoft 已将安全公告的副本发送给所有订阅者到 Microsoft 产品安全通知服务,这是一项免费的电子邮件服务,客户可以使用该服务随时了解 Microsoft 安全公告。
  • Microsoft 发布了一篇 知识库文章,Q271752 更详细地解释漏洞和过程。

在哪里可以找到有关安全性的最佳做法的详细信息? Microsoft TechNet 安全 网站是获取有关 Microsoft 安全性的信息的最佳位置。

如何实现获得此问题的技术支持?Microsoft 产品支持服务可以协助解决此问题或任何其他产品支持问题。

修补程序可用性

Microsoft Java 虚拟机不再受支持。 有关详细信息,请参阅 Microsoft Java 虚拟机Microsoft Java 虚拟机支持

其他信息:

支持: 这是完全支持的修补程序。 有关联系 Microsoft 产品支持服务的信息,请参阅 https:

安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修改:

  • V1.0(2000 年 8 月 21 日):公告已创建。
  • V1.1(2001 年 1 月 26 日):公告已更新,以反映 VM 修补程序版本的更新。
  • V1.2(2002 年 7 月 20 日):更新到下载位置。
  • V1.3(2003 年 2 月 28 日):对下载位置进行了更新。
  • V2.0(2009 年 7 月 1 日):删除了下载信息,因为 Microsoft Java 虚拟机不再可用于从 Microsoft 分发。 有关详细信息,请参阅 修补程序可用性

构建于 2014-04-18T13:49:36Z-07:00</https:>