安全公告

Microsoft 安全公告 MS01-017 - 严重

错误 VeriSign 颁发的数字证书构成欺骗危险

发布时间： 2001 年 3 月 22 日 |更新时间：2003 年 6 月 23 日

版本： 2.3

最初发布： 2001 年 3 月 22 日
更新时间： 2003 年 6 月 23 日

总结

谁应该阅读此公告：
使用 Microsoft® 产品的所有客户。

漏洞的影响：
攻击者可以使用名称“Microsoft Corporation”对代码进行数字签名。

建议：
所有客户都应安装下面讨论的更新。

受影响的软件：

• Microsoft Windows® 95
• Microsoft Windows 98
• Microsoft Windows Me
• Microsoft Windows NT® 4.0
• Microsoft Windows 2000
• Microsoft Windows XP Beta 2

常规信息

技术详细信息

技术说明：

2001 年 3 月中旬，VeriSign Inc.向欺诈性声称自己是 Microsoft 员工的个人颁发了两个 VeriSign 类 3 代码签名数字证书，告知 Microsoft 2001 年 1 月 29 日和 30 日。 分配给这两个证书的公用名是“Microsoft Corporation”。 使用据称属于 Microsoft 的密钥对可执行内容进行签名的能力显然有利于希望说服用户允许内容运行的攻击者。

证书可用于对程序、ActiveX 控件、办公室宏和其他可执行内容进行签名。 其中，签名的 ActiveX 控件和办公室宏将构成最大的风险，因为涉及它们的攻击方案是最直接的。 ActiveX 控件和 Word 文档都可以通过网页或 HTML 邮件传递。 ActiveX 控件可以通过脚本自动调用，并且 Word 文档可以通过脚本自动打开，除非用户应用了办公室文档打开确认工具。

尽管这些证书表示它们归 Microsoft 所有，但它们不是正确的 Microsoft 证书，并且默认情况下，由它们签名的内容将不受信任。 信任是按证书定义的，而不是基于公用名。 因此，即使用户以前同意信任具有公用名称“Microsoft Corporation”的其他证书，也会在执行任何已签名内容之前显示警告对话。 当然，危险是，即使是安全意识的用户也可以同意让内容执行，并且可能同意始终信任虚假证书。

VeriSign 已吊销证书，它们列在 VeriSign 的当前证书吊销列表 （CRL） 中。 但是，由于 VeriSign 的代码签名证书未指定 CRL 分发点（CDP），因此任何浏览器的 CRL 检查 机制都不可能找到和使用 VeriSign CRL。 Microsoft 开发了一个更新来纠正此问题。 更新包包括一个 CRL，其中包含两个证书，以及一个可安装的吊销处理程序，用于在本地计算机上咨询 CRL，而不是尝试使用 CDP 机制。

客户应注意下面标题为“有关此修补程序的其他信息”部分中所列的注意事项，特别是应注意，升级到任何当前可用的 Windows 或 Internet Explorer 版本时，需要重新安装更新。 从 Windows XP Gold 和 Windows 2000 Service Pack 2 开始的 Windows 版本以及从 IE 6 开始的 Internet Explorer 版本将不需要重新安装更新。

如果客户不希望安装更新，应执行以下步骤来保护自己，以防遇到由其中一个证书签名的恶意代码：

• 直观地检查所有警告对话中引用的证书。 此处颁发的两个证书分别于 2001 年 1 月 29 日和 30 日颁发。 这些日期没有颁发任何真正的 Microsoft 证书。 常见问题解答和知识库文章 Q293817 提供有关这两个证书的完整详细信息。
• 安装 Outlook 电子邮件安全更新以防止通过签名组件启动邮件传播的程序，并安装办公室文档打开确认工具，以强制网页在打开办公室文档之前请求权限。

缓解因素：

• 默认情况下，证书不受信任。 因此，无需显示警告对话即可运行代码和 ActiveX 控件。 通过查看此类对话中的证书，用户可以轻松识别证书。
• 这些证书不是真正的 Microsoft 代码签名证书。 这些密钥签名的内容可以与真正的 Microsoft 内容区分开来。

漏洞标识符： 无。 此问题不是 Microsoft 产品中存在缺陷的结果;由于第三方出错，因此会导致此错误。

测试的版本：

Microsoft 测试了以下产品，以评估它们是否受此漏洞影响。 我们放弃了正常支持准则，为仍在广泛使用的所有操作系统提供修正，无论它们是否得到正常支持。

• Microsoft Windows 95
• Microsoft Windows 98
• Microsoft Windows Me
• Microsoft Windows NT 4.0
• Microsoft Windows 2000

常见问题解答

这是安全漏洞吗？
此问题不符合安全漏洞的严格定义，因为任何受影响的 Microsoft 产品都没有缺陷。 问题只因第三方出错而产生。 但是，它显然给客户带来了严重风险，我们发布了此公告，提供有关该问题的信息，以及客户应立即采取的操作。

问题的范围是什么？
主要证书颁发机构 VeriSign 公司已通知 Microsoft，2001 年 1 月，它错误地向一名欺诈性声称自己是 Microsoft 员工的个人颁发了两个数字证书。 这些证书可用于使用名称“Microsoft Corporation”对程序（包括 ActiveX 控件和 Word 宏）进行数字签名。 使用这些证书签名的程序将无法自动运行或绕过任何正常的安全限制。 但是，在此类程序可以运行之前出现的警告对话将声称他们已被 Microsoft 数字签名。 显然，这将是说服用户运行程序的重要帮助。

什么是数字证书？
若要回答这个问题，我们首先需要讨论加密，尤其是 公钥加密。 加密是通过在正常、可读状态（称为纯文本）之间转换信息来保护信息的科学，其中数据被遮盖（称为密码文本）。 在所有形式的加密中，称为密钥的值与名为 cryptoalgorithm 的过程结合使用，将纯文本数据转换为密码文本。 在最熟悉的加密类型中，使用同一密钥加密将密码文本转换回纯文本。 但是，在另一种类型的加密中，公钥加密用于将密码文本转换回纯文本。 在公钥加密中，密钥之一（称为私钥）必须保密。 另一个密钥（称为公钥）旨在与世界共享。 但是，密钥所有者必须有办法告诉世界密钥属于谁。 数字证书提供了执行此操作的方法。 数字证书是一个防篡改数据片段，可将公钥打包在一起，以及其拥有者、其用途、过期时间等信息。

数字证书可以用于什么？
数字证书（或者更正确地是密钥对，其中公钥打包在数字证书中）可通过以下两种方式之一使用。 如果用户使用公钥（封装在数字证书中的公钥）来加密数据，则只有持有相应私钥的人员才能读取它;这使数据能够保密。 另一方面，如果私钥的所有者使用它来加密数据，任何人都可以使用相应的公钥对其进行解密。 此过程不提供机密性（因为任何人都可以访问公钥并解密消息），但它确实提供另外两项功能：

• 来源证明。 如果数据可以使用公钥解密，则必须使用相应的私钥对其进行加密，数字证书显示谁拥有私钥。
• 真实性。 如果有人在传输过程中修改了加密数据，则收件人将无法解密它，即使使用公钥也是如此。 成功解密数据的事实表明数据不会被篡改。

以这种方式使用公钥加密来证明数据的起源和真实性被称为数字签名。

但是，哪些确保私钥确实属于数字证书中列出的人员？
数字证书由称为证书颁发机构的组织生成和数字签名。 证书颁发机构的工作就是在向他们颁发数字证书之前验证请求数字证书的人员的身份。

在这种情况下，证书有什么问题？
证书颁发机构 VeriSign 错误地向声称自己是 Microsoft 员工的人员颁发了两个数字证书。 证书表示证书的所有者是 Microsoft，事实上，事实并非如此。

那么，这些不是真正的 Microsoft 证书？
正确。 Microsoft 的证书均未泄露。 这些是 VeriSign 错误颁发的新证书，它错误地表示 Microsoft 拥有它们。

如果 Microsoft 不拥有这些证书，则由谁拥有？
目前不知道购买证书的人员的身份。 但是，VeriSign 和 Microsoft 都在与执法部门密切合作，以查找此人，因为似乎在购买这些证书的过程中，可能已经违反多项法律。

如果 Microsoft 未颁发这些证书，为什么涉及到解决此问题？
Microsoft 参与了此问题，因为它是 Microsoft 在 VeriSign 颁发的证书上的名称，并且是 Microsoft 的客户，他们可能会受到损害。 Microsoft 长期致力于保护其客户的安全，并正在采取此处讨论的步骤作为该承诺的一部分。

这两个证书有什么用途？
这些证书的类型可用于对程序进行数字签名，包括 ActiveX 控件和办公室宏。 许多软件开发人员（包括 Microsoft）对他们创建的程序进行数字签名，以确保客户这些程序是合法的，并且尚未修改。

证书是否可用于任何其他目的？
否。 所有数字证书都有一个标记，用于限制其用途。 这些特定证书只能用于对程序进行数字签名。 它们不能用于加密数据、签名电子邮件、登录到 Windows 2000 系统，或者执行签名程序以外的其他任何操作。

攻击者如何使用这些证书？
攻击者的总体目标是说服其他用户运行不安全的程序，方法是使用数字签名说服他们，它实际上是正确的 Microsoft 软件，因此可以安全地运行。 攻击者可能用于实现此目的的各种方案，但如果攻击者的目标广泛分发恶意代码，则一些方案可能特别具有吸引力。 攻击者可能会选择使用旨在将程序传递到大量用户的攻击方案，例如在网站上托管已签名的程序，或者发送一封 HTML 电子邮件，用于从网站检索该程序。 也可能选择将程序打包为 ActiveX 控件或包含已签名宏的办公室文档，因为这样做将允许他自动启动运行程序，只要用户访问网页或打开 HTML 邮件。

你说攻击者是否可以自动运行已签名的程序？
否。 启动程序运行和实际运行程序之间存在细微区别，值得花一些时间讨论差异。 从攻击者的角度来看，仅仅将已签名的程序作为附件发送给邮件或将其作为文件托管在网站上的问题在于，他需要说服用户选择程序，并故意选择运行它。 这并不可能实现 - 见证了“我爱你”病毒的成功，例如，它确实这样做了，但攻击者需要一种方法来最大程度地减少用户运行程序所要执行的步骤数。 网页和 HTML 电子邮件可以自动启动 ActiveX 控件，并且可以自动打开 Word 文档（除非用户以前安装了办公室文档打开确认工具）。 但是，在任一情况下，都会在程序实际开始运行之前显示类似于下面的警告对话。 对话将询问用户程序是否正常运行。 当然，这种危险在于，对话会说该计划是由 Microsoft 数字签名的，甚至一个有安全意识的用户可能同意让它运行。

假设我以前曾说过始终信任由 Microsoft 签名的内容。 我是否仍会看到警告对话？
即使之前曾说过始终信任 Microsoft 签署的程序，你仍会看到至少一次警告对话。 这是因为信任是按证书分配的，而不是按名称分配的。 也就是说，可以指定信任特定证书，因为其上的名称是 Microsoft，但没有任何方法可以说你希望信任 Microsoft 对其说的所有 证书。 结果如下：尽管这两个虚假证书表示它们是 Microsoft 证书，但默认情况下它们不受信任。 保证在首次遇到使用上述任一证书签名的程序时看到警告对话，并且将继续看到它，除非你选择“始终信任来自 Microsoft Corporation 的内容”来响应警告对话。

Microsoft 在帮助解决此问题时该怎么办？
尽管此问题并非由于任何 Microsoft 产品存在缺陷，但我们还是开发了一项更新，可帮助客户确保两个证书签名的内容被识别为无效。

为什么你将其称为更新？ 不是补丁吗？
否。 修补程序纠正了软件中的缺陷。 不过，在这种情况下，任何 Microsoft 产品都没有缺陷。

如果 Microsoft 软件没有缺陷，为什么要发布新软件？
有一个标准过程应该允许 VeriSign 在使用这些证书时被接受。 Microsoft 产品支持此过程，但在构建 VeriSign 代码签名证书时存在缺陷，因此在这种情况下无法有效。 每个证书颁发者定期生成证书吊销列表（CRL），其中列出了所有应被视为无效的证书。 每个证书都应提供一个称为 CRL 分发点 （CDP） 的数据 - 此数据指示可从中获取 CRL 的位置。 问题是 VeriSign 代码签名证书不提供 CDP 信息。 因此，尽管 VeriSign 已将这两个证书添加到其当前的 CRL，但系统无法自动下载并检查它。 我们的更新补偿了 VeriSign 证书中的此遗漏。

更新的作用是什么？
此更新执行以下操作：

• 将 CRL 安装到本地计算机上。 CRL 将两个虚假证书列为已吊销。
• 通过一个称为可安装吊销处理程序的软件添加新功能，当 CDP 数据缺失或无效时，系统检查计算机上的 CRL。
• 为软件发布者的证书打开 IE 中的 CRL 检查。

可以在哪些版本的 Windows 上安装更新？
由于此问题构成的风险，Microsoft 采取了不同寻常的步骤，即为自 1995 年以来生成的每个 Windows 操作系统生成更新，而不管它是否通常受支持。 标题为“有关此修补程序的详细信息”部分提供特定版本和 Service Pack 信息。

安装更新有什么影响？
安装更新后，如果遇到使用任一证书签名的程序，则不再看到警告对话框，询问是否要让程序运行。 相反，你将看到一个对话框，告知你证书已被吊销，并且程序不能受信任。 例如，在 Windows Me 或 Windows 2000 上，你会看到如下所示的对话。 其他版本的 Windows 上的对话类似。

我是否仍可能运行该程序？
默认选择是阻止程序运行。 可以替代此选项，但我们强烈建议不要这样做。 证书颁发者吊销证书的事实说明了其不可信性。

假设我以前遇到了一个使用这些证书签名的程序，并说我想信任它。 如果随后遇到使用同一证书签名的程序，更新是否会帮助我？
证书的吊销状态优先于其信任状态。 这意味着，即使之前曾说过你信任其中一个证书，更新也会显示一条消息，告知如果随后遇到使用证书签名的内容，则它是不可信的。 然而，这不是一切的治愈方法，它最初似乎是。 请记住，信任证书的机会是网站或 HTML 电子邮件启动签名程序时显示的警告对话的一部分。 虽然在选择“始终信任”框时不允许程序运行，但不太可能有人选择信任证书，但不允许程序运行。 因此，如果你已同意信任这两个证书中的任一证书，则很可能允许使用证书在系统上运行已签名的程序。 如果尝试随后运行使用同一证书签名的程序，更新会发出警报，因为系统可能已被第一个程序完全泄露。

我不想安装更新。 是否可以采取其他步骤来保护系统？
保护系统的最佳方式是安装更新，但仍有一些有助于保护系统的事情：

• 如果看到一个对话，询问是否信任 Microsoft 签名的内容，请直观检查证书并验证它是否不是虚假内容之一。
• 确保已安装 Outlook 电子邮件安全更新和办公室文档打开确认工具。

如何直观地检查证书？
如上文所述，每当网站或电子邮件尝试运行由系统未知的证书签名的程序时，你始终都会看到警告对话，即使证书显示它归 Microsoft 所有。 （当然，如果你说信任证书，则不会再次看到警告）。 此对话提供一个选项，用于通过单击签名者的名称来查看证书。 通过检查证书中的信息，可以轻松判断它是否为两个虚假信息之一。 显然，如果程序已由其中一个证书签名，则不应运行它。 下面是两个虚假证书的屏幕截图：

屏幕截图列出了保护电子邮件作为预期目的之一，但你说它们只能用于对程序进行签名。 哪个是对的？
“发布者”信息是权威数据片段，而不是“预期用途”信息。 由于证书是由 VeriSign 商业软件发布者 CA 颁发的，因此它只能用于对程序进行签名，而不管证书的其他部分可能是什么。

安装 Outlook 电子邮件安全更新如何帮助保护我的系统？
Outlook 电子邮件安全更新阻止 HTML 邮件启动 ActiveX 控件，即使它们已数字签名也是如此。 通过安装更新，可以确保受此攻击的邮件传播版本受到保护。 如果尚未安装更新，请立即执行此操作。

安装办公室文档打开确认工具如何帮助保护我的系统？
办公室文档打开确认工具可阻止网站和 HTML 电子邮件在未经你同意的情况下打开办公室文档（如 Word 文件）。 这样就更难导致数字签名的 Word 宏运行。

我在我的系统上托管完整的 VeriSign CRL。 安装更新时是否需要执行任何特殊操作？
是的。 如果已托管本地 CRL，应注意更新会用它包含的 CRL 覆盖它。 安装更新后，需要下载并安装完整 VeriSign CRL 的新副本。 此外，应注意与托管完整 CRL 相关的维护负担。 与大多数证书颁发者的 CRL 一样，完整的 VeriSign CRL 是短期的。 它仅在发行日期起一周左右有效。 系统不会使用过期的 CRL，因此需要定期下载并安装更新的 CRL。 相比之下，更新安装的 CRL 具有很长的生存期，如果使用它，则无需刷新它。

如果在某个时候升级系统，该怎么办？ 是否需要重新应用更新？
可能需要。 Windows 和 Internet Explorer 的所有当前传送版本（即 Windows 版本等于或早于 Windows XP Beta 2、Windows 2000 Service Pack 1 和 Windows Me）以及 Internet Explorer 版本等于或低于 IE 5.5（而不考虑 Service Pack）-在安装时重置某些参数，这会影响禁用更新。 如果将 Windows 或 IE 升级到上述任何版本，则需要在升级后重新应用更新。 相比之下，从 Service Pack 2 开始的 Windows XP Gold、Windows 2000 和 Internet Explorer 6 将不再重置这些参数，因此升级到这些版本或更高版本时不需要重新安装更新。

如果有多个用户共享计算机，每个用户是否需要安装更新？
否。 只有管理员才能安装更新，但在计算机上安装后，它将对登录到更新的所有用户生效。

我听说更新中包含的 CRL 有三个条目。 然而，只有两个虚假证书。 为什么 CRL 中有第三个条目？
CRL 中的第三个条目是一个真正的 Microsoft 证书，我们故意撤销该证书来帮助测试更新。 在上述大部分讨论中，我们术语有些宽松，并讨论了如何使用数字证书对程序进行签名。 但是，请记住，实际上，数字证书只 验证 数字签名 - 它不能用于创建数字签名。 使用与数字证书关联的私钥创建数字签名。 问题是，虽然我们有两个证书的副本，但与之关联的私钥掌握在购买证书的人员手中。 这意味着，除了该人之外，没有人可以使用它们对程序进行数字签名。 但是，我们需要针对使用吊销证书签名的程序测试更新。 因此，我们故意撤销了现有的 Microsoft 测试证书，将其包含在 CRL 中，然后使用该证书的关联私钥对程序进行签名。 我们使用这些签名的程序来测试更新。

是否可以验证更新是否正常工作？
是的。 可通过两种方式来执行此操作。 最简单的方法是验证修补程序安装的文件是否确实存在于你的计算机上。 为此，请执行下列步骤：

• 验证计算机上是否存在文件 verisignpub1.crl。
• 验证是否启用了代码签名证书的 CRL 检查。 在 IE 中，选择“工具”，然后选择“Internet 选项”。 选择“高级”选项卡，然后滚动到标题为“安全性”的部分，并验证是否选择了“检查发布者的证书吊销”。

还有一个文件，该文件已使用上一个问题中讨论的测试证书进行签名。 通过下载此文件并检查签名，可以验证更新是否正常工作。 该文件在以下位置 https://www.microsoft.com/download/details.aspx?FamilyId=BE633CFA-CA61-4D47-8F2D-537FEE155F26&提供：displaylang;=en. 如果选择下载此文件，请记住，此文件与使用吊销证书签名的任何内容一样， 不应运行或安装。 它只应用于验证更新是否正常工作，然后应将其删除。 将文件下载到文件夹中后，检查签名，如下所示：

• 右键单击文件并选择“属性”。
• 选择标题为数字签名的选项卡。
• 在签名列表中，单击签名者的名称（“Microsoft Corp（仅测试）”，然后单击“详细信息”按钮。
• 如果生成的对话指出证书已由其颁发者吊销，则修补程序正常工作。

我收到了一封电子邮件，该电子邮件声称来自 Microsoft，并包含一个程序作为附件。 那会是真正的吗？
否。 Microsoft 具有严格的 策略 ，禁止通过电子邮件发送程序、安全修补程序或任何其他类型的可执行内容。 我们通过网站或物理媒体（如 CDROM）分发软件。 如果收到此类邮件，请不要运行附件。

是否可以判断我是否曾经使用其中一个证书运行过签名的程序？
可以检查系统进行签名，以指示你已运行此类程序。 执行此操作的一种方法是使用工具扫描硬盘驱动器，以查找使用任一证书签名的任何内容。 一些防病毒供应商正在开发此类工具。 另一种方法是检查系统注册表，以确定任一证书是否在受信任的证书列表中。 Microsoft 知识库文章 Q293816 讨论如何执行此操作。 系统中存在已签名的内容，或者受信任的证书列表中存在任一证书，应被视为你已运行由其中一个证书签名的程序。 但是，必须了解其中任一指标的缺失并不能证明你没有运行使用这些证书之一签名的程序。 例如，攻击者可以创建一个已签名的程序，该程序在运行时会将未签名的程序下载到硬盘驱动器，运行它们，并从系统中清除自身的所有跟踪。

如果我发现我已运行使用其中一个证书签名的程序，该怎么办？
Microsoft 将继续积极调查此问题，我们非常有兴趣审查使用这些证书签名的任何程序。 如果遇到此类程序，请发送电子邮件至 Microsoft 安全响应中心（）。

当我得知此问题时，我从受信任的根存储中删除了 VeriSign 商业软件发布者 CA 证书。 更新可用后，如何恢复证书？
知识库文章 Q293819 讨论如何执行此操作。

修补程序可用性

下载此修补程序的位置

• https://www.microsoft.com/download/details.aspx?FamilyId=43FD979A-03C1-4008-B38D-70E9BCD67454&displaylang;=en

有关此修补程序的其他信息

安装平台：

运行 Internet Explorer 4.01 Service Pack 2、Internet Explorer 5.01 Service Pack 1 或 Service Pack 2 或 Internet Explorer 5.5 Service Pack 1 时，已在以下操作系统上测试更新：

• Windows 95

• Windows 98

• Windows 98 Second Edition

• Windows Me

• Windows NT 4.0 工作站 Service Pack 4、Service Pack 5 或 Service Pack 6a。

• Windows NT 4.0 服务器和服务器、企业版、Service Pack 4、Service Pack 5 或 Service Pack 6a。

• Windows NT 4.0 服务器、终端服务器版本、 Service Pack 4、 Service Pack 5 或 Service Pack 6。

• Windows 2000 Professional、Server、Advanced Server 或 Datacenter Server Gold 或 Service Pack 1。

• Windows XP Beta 2

  注意： 更新可以安装在任何版本的 Internet Explorer 上，但仅与上面列出的版本一起进行测试。 它在使用 IE 4.0 之前的 Internet Explorer 版本的系统上不起作用。 Microsoft 强烈建议客户在安装更新之前升级到 IE 5 或更高版本 ，以避免以下“注意事项”部分讨论的第二个问题。

包含在将来的 Service Pack 中：

此更新将包含在 Windows XP Gold 和 Windows 2000 Service Pack 2 以及 Internet Explorer 6 中。

验证修补程序安装：

若要验证是否已正确安装更新，请执行以下步骤：

• 验证计算机上是否存在文件 verisignpub1.crl。

• 验证是否启用了代码签名证书的 CRL 检查。 在 IE 中，选择“工具”，然后选择“Internet 选项”。 选择“高级”选项卡，然后滚动到标题为“安全性”的部分，并验证是否选择了“检查发布者的证书吊销”。

  此外，可以使用通过更新吊销的测试证书对文件进行签名。 常见问题解答提供有关获取和使用文件来验证更新操作的信息。

注意：

• 升级 Windows XP Gold、Windows 2000 Service Pack 2 或 Internet Explorer 6 之前的任何版本的 Windows 后，必须重新安装更新。
• 选择手动使用 VeriSign CRL 的本地副本而不是随更新提供的 CRL 的客户应注意，完整的 VeriSign CRL 是短期的，必须每周刷新一次。
• 在安装更新之前手动安装完整的 VeriSign CRL 的客户应在之后安装新版本的 CRL。

本地化：

更新不是特定于语言的。 它可以使用任何语言安装在系统上。

获取其他安全修补程序：

可从以下位置获取其他安全问题的修补程序：

• 安全修补程序可从 Microsoft 下载中心获取，可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
• WindowsUpdate 网站也提供了修补程序

其他信息：

支持：

• Microsoft 知识库文章Q293818讨论此问题，此公告发布后大约 24 小时可用。 可以在 Microsoft Online 支持网站上找到知识库文章。
• Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。

安全资源：Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明：

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修改：

• V1.0（2001 年 3 月 22 日）：公告已创建。
• V2.0（2001 年 3 月 28 日）：公告已更新，以建议更新的可用性。
• V2.1（2001 年 4 月 9 日）：添加了有关验证文件的信息。
• V2.2（2003 年 2 月 28 日）：更新了 Outlook 安全更新的链接
• V2.3（2003 年 6 月 23 日）：更新了Windows 更新下载链接。

生成于 2014-04-18T13：49：36Z-07：00