安全公告

Microsoft 安全公告 MS02-050 - 重要

证书验证缺陷可以启用标识欺骗（Q329115）

发布时间： 2002 年 9 月 4 日 |更新时间：2003 年 11 月 11 日

版本： 5.0

最初发布： 2002 年 9 月 4 日

更新时间： 2003 年 11 月 11 日

总结

谁应阅读此公告：使用 Microsoft® Windows®、办公室 for Mac、Internet Explorer for Mac 或 Outlook Express for Mac 的客户。

漏洞的影响： 标识欺骗，在某些情况下，能够控制用户的系统。

最大严重性分级： 重要

建议： 客户应在必要时立即安装更新的修补程序版本。

受影响的软件：

• Microsoft Windows 98
• Microsoft Windows 98 Second Edition
• Microsoft Windows Me
• Microsoft Windows NT® 4.0
• Microsoft Windows NT 4.0 终端服务器版本
• Microsoft Windows 2000
• Microsoft Windows XP
• Microsoft Office for Mac
• 适用于 Mac 的 Microsoft Internet Explorer
• Microsoft Outlook Express for Mac

常规信息

技术详细信息

技术说明：

本公告的原始版本于 2002 年 9 月 5 日发布。

Microsoft 于 2003 年 11 月 11 日重新发布此安全公告，建议提供更新的 Microsoft Windows 2000 Service Pack 4 （SP4） 安全修补程序。 此修订后的安全修补程序更正了在 Windows 2000 SP4 上安装 Microsoft Internet Explorer 6.0 Service Pack 1 期间可能发生的回归。 此回归将删除此公告中讨论的更新，并作为 Windows 2000 SP4 的一部分提供。 使用 Windows 2000 SP4 然后安装 Internet Explorer 6.0 Service Pack 1 的客户应应用更新的 Windows 2000 SP4 安全修补程序来帮助防止此漏洞。

2002 年 9 月 9 日，我们更新了公告，告知客户，用于对设备驱动程序进行签名的 Microsoft 颁发的数字证书不符合修补程序建立的更严格的验证标准。 因此，安装修补程序的客户在安装新硬件时可能会看到意外的错误消息，在某些情况下可能无法完全安装新硬件。 2002 年 11 月 20 日，我们发布了修补程序的更新版本，不仅消除了此问题，而且消除了新发现的原始漏洞变体。

X.509 证书标准的 IETF 配置文件定义了可包含在数字证书中的多个可选字段。 其中一个是“基本约束”字段，该字段指示证书链的最大允许长度以及证书是证书颁发机构还是最终实体证书。 但是，在 CryptoAPI 中构造和验证证书链（CertGetCertificateChain（）、CertVerifyCertificateChainPolicy（）和 WinVerifyTrust（）中的 API 不会检查基本约束字段。 与 CryptoAPI 无关的同一缺陷也存在于 Macintosh 的多个 Microsoft 产品中。

在公告的原始版本中识别的漏洞可以让具有有效最终实体证书的攻击者颁发从属证书，尽管存在虚假证书，但还是会通过验证。 由于 CryptoAPI 由各种应用程序使用，因此这可以实现各种标识欺骗攻击。 常见问题解答中详细介绍了这些内容，但可能包括：

• 设置一个网站以其他网站的形式构成，并通过建立 SSL 会话作为合法网站来“证明”其标识。
• 发送使用据称属于其他用户的数字证书签名的电子邮件。
• 欺骗基于证书的身份验证系统，以作为高特权用户获取条目。
• 使用验证码证书对恶意软件进行数字签名，该证书声明已颁发给公司用户可能信任。

2002 年 11 月 20 日宣布的新发现的漏洞与公告原始版本中讨论的漏洞密切相关，与该漏洞一样，涉及证书验证的执行方式存在缺陷。 但是，此漏洞可能使攻击者能够控制用户的系统。 由于此漏洞的修补程序未包含在原始版本的修补程序中，Microsoft 强烈建议客户安装新修补程序，即使他们安装了修补程序的原始版本。 只有 Microsoft Windows 98、Windows 98 Second Edition、Windows NT 4.0 和 Windows NT 4.0，终端服务器版本才会受到此变体的影响。

缓解因素：

整体：

• 用户始终可以手动检查证书链，并且可能会在欺骗链时注意到存在不熟悉的中间 CA。
• 除非攻击者的数字证书由用户信任列表中的 CA 颁发，否则证书会在验证时生成警告。
• 攻击者只能欺骗其拥有的同一类型的证书。 如果攻击者尝试使用高价值证书（如 Authenticode 证书）发动攻击，则需要获取相同类型的合法证书，这可能需要攻击者证明其身份或颁发 CA 的权利。

网站欺骗：

• 该漏洞使攻击者无法使用户访问攻击者的网站。 攻击者需要使用 DNS 中毒等方法将用户重定向到攻击者控制下的站点。 如常见问题解答中所述，这种做法极其困难。
• 该漏洞无法用于从用户的计算机中提取信息。 漏洞只能由攻击者用作说服用户达到受信任站点的方法，希望说服用户自愿提供敏感数据。

电子邮件签名：

• 欺骗邮件上的“发件人”地址需要与证书中指定的地址匹配，如果收件人回复邮件，这会导致两种情况之一。 如果“发件人”和“回复”字段匹配，则答复将发送给攻击的受害者，而不是攻击者。 如果字段不匹配，则显然会向除可公开发件人以外的人发送答复。 任何一种情况都可能是攻击正在进行的一个提示。

基于证书的身份验证：

• 在大多数情况下，证书用于用户身份验证时，必须提供证书中包含的其他信息才能完成身份验证。 此类数据的类型和格式通常因每次安装而异，因此成功攻击可能需要大量内部信息。

验证码欺骗：

• 根据 Microsoft 的了解，无法使用任何商业 CA 的 Authenticode 证书执行此类攻击。 这些证书包含导致正确评估基本约束字段的策略信息，并且不允许最终实体证书充当 CA。
• 即使使用公司 PKI 颁发的 Authenticode 证书成功执行攻击，也不可能避免警告消息，因为对 Authenticode 的信任是按证书（而不是按名称）中转的。

严重性分级：

	原始漏洞	新变体
Windows 98	重要	重要
Windows 98 Second Edition	重要	重要
Windows Me	重要	无
Windows NT 4.0	重要	重要
Windows NT 4.0 终端服务器版本	重要	重要
Windows 2000 Professional	重要	无
Windows 2000 Server	重要	无
Windows 2000 高级服务器	重要	无
Windows XP	重要	无
Microsoft Office for Mac	中等	无
适用于 Mac 的 Microsoft Internet Explorer	中等	无
Microsoft Outlook Express for Mac	中等	无

上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。 Windows 产品的严重性更高，因为漏洞位于 CryptoAPI 中，因此会影响许多应用程序和功能。 Mac 产品的严重性较低，因为它们仅对 SSL 使用证书。

注意： 响应客户反馈，Microsoft 于 2002 年 11 月 18 日更新了其严重性分级系统。 最初在旧系统下发布的安全公告（2002 年 11 月 18 日之前）并在新系统下重新发布，将反映根据新修订的系统 严重性分级标准评估的严重性分级。

漏洞标识符：

• 原始漏洞： CAN-2002-0862
• 漏洞的新变体： CAN-2002-1183

测试的版本：

Microsoft 测试了以下产品，以评估它们是否受此漏洞影响。

• Microsoft Windows 98
• Microsoft Windows 98 Second Edition
• Microsoft Windows Me
• Microsoft Windows NT 4.0
• Microsoft Windows NT 4.0 终端服务器版本
• Microsoft Windows 2000
• Microsoft Windows XP
• Microsoft 办公室 v.X for Mac
• Microsoft 办公室 2001 for Mac
• Microsoft 办公室 98 for macintosh
• Microsoft Internet Explorer for Mac（适用于 Mac OS 8.1 到 9.x）
• 适用于 Mac 的 Microsoft Internet Explorer （适用于 OS X）
• Microsoft Outlook Express 5.0.5 for Mac

以前的版本不再 受支持，并且可能不受此漏洞的影响。

常见问题解答

自该公告发布以来，该公告已多次修订。 为什么？
自最初发布以来，该公告经常修订。 其中大多数修订都宣布了为其他平台提供修补程序或更正了次要错误。 但是，多个版本特别重要：

• 公告的原始版本，于2002年9月4日发布。 此版本的公告讨论了原始漏洞和修补程序的可用性。
• 公告版本 3.0，于 2002 年 9 月 9 日发布。 此版本讨论了与在已修补的系统上安装硬件设备相关的副作用。
• 公告版本 4.0 于 2002 年 11 月 20 日发布。 此版本宣布了修补程序的更新版本，不仅消除了与原始修补程序关联的副作用，而且消除了影响 Windows NT 4.0 和 Windows 98 的其他漏洞，以及与数字证书处理方式相关联的附加漏洞。
• 公告版本 5.0，于 2003 年 11 月 11 日发布。 此版本宣布更新的 Microsoft Windows 2000 Service Pack 4 （SP4） 安全修补程序。 此修订后的修补程序更正了在使用 Windows 2000 Service Pack（SP4）的系统上安装 Microsoft Internet Explorer 6.0 Service Pack 1 期间可能发生的回归。 此回归将删除此公告中讨论的更新，并作为 Windows 2000 SP4 的一部分提供。 使用 Windows 2000 SP4 然后安装 Internet Explorer 6.0 Service Pack 1 的客户应应用更新的 Windows 2000 SP4 安全修补程序来帮助防止此漏洞。

与修补程序的原始版本关联的副作用是什么？
根据设计，修补程序会制定更严格的标准来确定数字证书的有效性。 但是，在发布修补程序后不久，我们发现 Microsoft 颁发的数字证书不通过新标准。 此证书用于认证磁盘驱动器、网络卡、调制解调器等硬件设备是否已测试与 Windows 的兼容性。 这在客户在修补系统上安装了新硬件的情况下提出了问题。 由于证书无法通过新标准，Windows 会显示一个对话框，告知用户未测试硬件是否与 Windows 兼容。 在大多数情况下（但并非全部）情况下，用户仍可以将 Windows 定向到安装硬件。

2002 年 11 月 20 日版本的修补程序的作用是什么？
2002 年 11 月 20 日或之后发布的修补程序版本更正了 Microsoft 数字证书的问题，从而解决了副作用。 但他们做的不止于这一点。 Microsoft 了解了与下面讨论的漏洞相关的其他安全漏洞，但仅影响 Windows NT 4.0 和 Windows 98，并在更新的修补程序中包含修复程序。

我安装了修补程序的原始版本。 是否应安装 2002 年 11 月 20 日发布的修补程序版本？
是的。 副作用的修复应该足以保证安装更新的版本。 但是，对于 Windows NT 4.0 和 Windows 98 用户，发现新的安全漏洞使得所有客户都安装更新的修补程序非常重要。

我尚未安装 Windows 2000 Service Pack 4，然后安装 Internet Explorer 6.0 Service Pack 1 是否需要安装 2003 年 11 月 11 日发布的已更新的 Windows 2000 Service Pack 4 版本的安全修补程序？
否。 2003 年 11 月 11 日发布的修补程序的更新版本仅适用于使用 Windows 2000 Service Pack 4，然后安装 Internet Explorer 6.0 Service Pack 1 的客户。 只有这些客户才应应用更新的 Windows 2000 Service Pack 4 安全修补程序，以帮助保护自己免受此漏洞的伤害。

更新修补程序的 Q 编号与原始修补程序的 Q 编号不同。 为什么？
为了方便客户确认他们正在安装修补程序的更新版本，我们更改了 Q 编号。 原始修补程序的 Q 号Q328145;新项Q329115。

原始漏洞的范围是什么？
此漏洞可能使攻击者能够制作数字证书，尽管这种证书是虚假的，但仍会被接受为真正的证书。 数字证书用于各种与安全相关的目的，例如，用户使用它们来确认网站的身份;验证电子邮件发件人是谁;运行特定程序和其他目的是否安全 ，以及伪造看似有效的证书的能力可能会允许各种攻击。 在许多情况下，颁发数字证书的公司遵循的特定策略可减轻漏洞带来的风险。 这些策略可能会使成功利用漏洞变得困难或不可能，在某些情况下，可以更轻松地确定执行特定攻击的人员。 此外，值得注意的是，用户始终可以检查数字证书，并查看尝试利用漏洞的指示性迹象。

导致漏洞的原因是什么？
由于受影响的产品在验证数字证书时评估基本约束字段的方式存在缺陷，因此会发生此漏洞。 这些缺陷可能使攻击者能够充当证书颁发机构，并创建具有任何所需信息的从属证书，受影响的产品将接受该证书有效。

什么是数字证书？
数字证书是公钥加密中的 熟悉装置。 在公钥加密中，有两个密钥：私钥必须保密，公钥旨在与世界共享。 为了有效地共享公钥，需要有一种方法来了解其用途、如何使用公钥以及验证信息是否正确。 数字证书提供了执行此操作的方法。 数字证书将公钥与相关信息合并在一起-谁拥有它、其用途、到期时间等。 当用户需要数字证书时，他或她从称为证书颁发机构（CA）的组织获取该证书。 CA 不仅会创建证书，还会对证书进行数字签名，从而为其中的信息提供担保，并防止在未检测到的情况下对其进行修改。

用于哪些数字证书？
下面是使用数字证书的某些应用程序的采样：

• Web 会话。 网站经常使用 安全套接字层 协议，该协议允许网站向访问者证明它是它所谓的协议，并为生成的 Web 会话提供加密。
• 电子邮件。 许多电子邮件客户端支持 S/MIME，该协议使用数字证书来证明电子邮件的发源点和真实性。
• 代码签名。 Microsoft 平台支持 Authenticode，这是一种技术，允许软件开发人员对程序进行数字签名，以证明其作者身份并表明程序尚未修改。
• 网络会话。 许多公司使用 IP标准版C 通过加密网络会话，使参与者能够确定他们与之通信的人员，从而保护网络会话。

如何实现支持数字证书的功能？
应用程序通过两种方式之一实现对数字证书的支持。 在 Windows 下运行的函数通常使用 CryptoAPI，这是一组内置于 Windows 中的函数，它们为加密、解密、数字证书处理和其他任务提供支持。 在其他操作系统下运行的操作系统通常必须在本地实现加密函数，即应用程序本身。

在这种情况下，漏洞是否在于 CryptoAPI 或特定产品中的本地实现？
两者。 CryptoAPI 实现受漏洞影响，因此会影响所有应用程序（无论是由 Microsoft 编写还是第三方编写）使用它。 但是，在 Macintosh 上运行的多个 Microsoft 应用程序（因此提供自己的加密实现）包含相同的漏洞。

受影响产品中如何验证数字证书有什么问题？
漏洞结果是因为受影响的产品在验证数字证书时不会检查特定字段（称为基本约束）。 如上所述，数字证书的一个用途是允许颁发数字证书的 CA 来规范其使用方式。 “基本约束”字段是完成此操作的一种方式。 “基本约束”字段允许 CA 指示两个重要信息片段：证书是否有权充当 CA（从而颁发其他证书、从属证书），以及生成的证书链的长度。 受影响的产品不会检查此字段，因此不应用它可能指示的任何约束。

为什么这会带来安全漏洞？
如上所述，当 CA 颁发数字证书时，它为证书的真实性和所有者的标识提供担保。 该缺陷构成安全漏洞，因为从本质上讲，它可能允许颁发数字证书的攻击者成功声称 CA 已委托给他颁发其他证书的能力。 攻击者关于这些证书有效性的断言将采用与 CA 本身所做的相同强制。

此漏洞会使攻击者能够执行哪些操作？
该漏洞可能使攻击者能够创建一个数字证书，该证书仍会通过验证。 根据使用情况，这可能会启用各种攻击，例如：

• 创建一个可以成功作为其他网站摆姿势的网站，希望访问者能够向该网站提供敏感信息。
• 发送电子邮件，其数字签名将证明该电子邮件是由实际发件人以外的人发送的。
• 通过提供虚假数字证书作为身份验证来冒充其他用户。
• 以可信用户或公司的身份对危险计划进行数字签名，以说服用户安全运行它。

请务必了解，其中每个方案都会受到不同程度的操作障碍的约束。 我们将在下面详细讨论每个方案，但值得列出这三个障碍，所有这些方案都是常见的。

• 攻击者的数字证书需要由用户信任的 CA 颁发。 攻击者利用漏洞的要点是创建一个不生成警告消息的虚假证书，但如果颁发攻击者证书的 CA 不受信任，则实际上会生成警告。
• 虚假证书将限制为与攻击者相同的用法。 这意味着，为了创建虚假 SSL 服务器证书，攻击者需要有效的 SSL 服务器证书;为了创建虚假的 Authenticode 证书，攻击者需要有效的 Authenticode 证书，依此类推。 在某些情况下，获取有效的证书可能要求攻击者提供稍后可由执法部门使用的标识证明。
• 用户始终可以确定真相。 使用数字证书的每个 Microsoft 应用程序都提供了查看证书的方法。 这样做的用户可能会注意到证书链异常，在该证书的颁发者是一个不熟悉的名称，并且似乎与 CA 关联。

攻击者如何使用漏洞欺骗受信任的网站？
攻击者可能会选择一个用户可能信任的电子商务网站，设置一个据称是合法电子商务网站的网站，然后创建一个虚假的 SSL 服务器证书来支持该声明。 如果用户访问了攻击者的站点，证书将允许它设置有效的 SSL 会话，“确认”它确实是合法的电子商务站点。 然后，用户可以选择向攻击者站点提供敏感信息，例如信用卡号码。 此方案构成的主要障碍是，该漏洞无法使用户实际到达攻击者的站点，更不用说相信它是另一个站点。 这样做可能需要攻击者能够通过 DNS 缓存中毒等技术修改用户传输的 Internet 基础结构。 但是，此类技术比较困难、暂时性，通常需要良好的网络拓扑。

攻击者如何使用漏洞欺骗数字签名的电子邮件？
攻击者将创建据称属于其他用户的虚假电子邮件签名证书，然后使用该证书对电子邮件进行数字签名。 收件人可能会根据签名得出结论，邮件有效。 此方案的主要问题是，为了验证签名，电子邮件上的“发件人”地址需要与证书上引用的地址匹配。 也就是说，想要将邮件签名为 Bob 的攻击者需要使用 Bob 的电子邮件地址创建证书，并将 Bob 的地址用作电子邮件中的“发件人”地址。 在大多数情况下，回复邮件将导致它传递到鲍勃-而不是攻击者 -- 鲍勃会知道有人欺骗他的签名。 攻击者可以操纵邮件字段，以便不会将答复发送到 Bob，但本身就是一个提示，即某个东西是脚下的东西。 在任一情况下，收件人向 Bob 提供攻击者虚假证书的副本相对简单，Bob 随后可能会吊销或移交给执法部门。

攻击者如何使用漏洞欺骗基于证书的身份验证？
此方案适用于相当不典型的情况，例如使用相互身份验证 SSL 会话来代理对网络资源的访问。 为了对此类系统发动攻击，攻击者会在另一个用户的名称（大概是管理员或其他特权用户）中生成虚假证书，然后使用证书作为该用户进行身份验证，从而获得其他用户的权限。 这次袭击有两大障碍。 首先，此类方案通常在部署公钥基础结构的企业网络中找到。 在这种情况下，攻击者不能简单地从商业 CA 购买证书。 相反，他或她需要从公司的本地 CA 获取一个，这可能要求攻击者已经是合法的网络用户。 其次，此类系统通常使用 CA 存储在证书中的数据来仲裁用户权限。 确定正确的数据以及正确的格式可能需要大量的内部知识。

攻击者如何欺骗 Authenticode 签名的漏洞？
为了仅描述一种方案，攻击者可能会创建一个执行一些恶意任务的 ActiveX 控件，然后创建一个验证码数字证书，该证书据称属于一家广受信任的公司。 使用虚假证书对控件进行数字签名后，攻击者可以在他或她所控制的网站上托管该控件，并在用户访问该网站时尝试运行该控件。 在这种情况下，攻击者的问题是，在 Microsoft 的了解中，任何商业 CA 的 Authenticode 证书都不能用于此类攻击。 原因是这些 CA 在其证书中包含策略信息，其效果是导致 CryptoAPI 重新检查基本约束字段以及正确处理。 在每种情况下，这些证书中的基本约束信息都不允许使用这些信息颁发其他证书。 因此，这种情况可能仅限于一家公司部署公钥基础结构、颁发了与商业 CA 不一样格式的 Authenticode 证书，并向攻击者颁发了一个验证码证书。 即使有一个商业 CA 确实颁发了适合用于此类攻击的证书，用户仍会看到警告消息。 Internet Explorer 中转站基于证书信任，而不是按名称信任。 也就是说，如果两个证书的名称完全相同，并且用户同意信任第一个证书，则遇到第二个证书时，Internet Explorer 仍将生成警告。

我正在运行 Windows。 是否需要为正在运行的每个应用程序应用修补程序？
否。 只需为正在使用的 Windows 版本应用修补程序。 应用修补程序可消除 CryptoAPI 中的漏洞，从而使使用它的任何应用程序都安全。

我运行的是上面列出的 Macintosh 的几个 Microsoft 产品。 是否需要为每个修补程序应用修补程序？
是的。 Macintosh 不提供 CryptoAPI 的必然结果，因此每个应用程序都必须实现自己的加密。 因此，受影响的产品列表中列出了每个适用于 Macintosh 的 Microsoft 产品都有单独的修补程序。

我是开发人员，我的一个产品使用 CryptoAPI。 是否需要执行任何操作？
否。 将修补程序应用于系统时，它会消除 CryptoAPI 本身中的问题，从而消除了任何依赖于加密服务的应用程序中的问题。

修补程序如何解决漏洞？
此修补程序可确保中间证书不被视为证书颁发机构，除非基本约束扩展存在，且 CA 的值设置为 TRUE。 此外，该修补程序可确保如果 KeyUsage 扩展存在于旨在用作证书颁发机构的证书中，则必须包含 keyCertSign 的值，该值定义（或限制）证书中包含的密钥的使用。

漏洞的新变体的范围是什么？
此漏洞可能使攻击者能够完全控制用户的计算机。 这将使攻击者能够采取合法用户可能采取的任何操作，包括运行程序、与网站通信、重新格式化硬盘驱动器等。

此漏洞与原始漏洞有何关联？
这密切相关。 这两者都涉及验证和使用数字证书的方式存在缺陷。 主要区别在于他们可以允许攻击者执行的操作，以及新漏洞仅影响 Windows NT 4.0 和 Windows 98 这一事实。

如果这只是与证书验证关联的另一个漏洞，为什么要专门讨论它？
Microsoft 在发布原始版本的修补程序后不久就了解了该漏洞，并确定，尽管它与前面的修补程序相似，但原始修补程序并未消除该漏洞。 我们正在单独讨论，以确保客户了解安装新版本修补程序的必要性。

哪个 Microsoft Windows 操作系统受新发现的变体的影响？
受新发现的变体影响的 Windows 操作系统包括：

• Microsoft Windows 98
• Microsoft Windows 98 Second Edition
• Microsoft Windows NT 4.0
• Microsoft Windows NT 4.0 终端服务器版本

我运行的是 Mac 产品之一，我应该重新应用修补程序吗？
否。 适用于 Mac 的产品不受新变体的影响。 如果已为 Mac 产品应用修补程序，则无需重新应用。

原始变体和新变体之间的攻击方案是否有任何差异？
否。 攻击方案非常相似。

修补程序可用性

下载此修补程序的位置

• Microsoft Windows 98：

  https：

• Windows 98 Second Edition：

  </https：>https：

• Windows Me：

  只能通过Windows 更新使用。

• Windows NT 4.0：

  </https：>https：

• Windows NT 4.0 终端服务器版本：

  https://www.microsoft.com/download/details.aspx?FamilyId=783DACA7-8F05-4592-9D44-E0D6B815C157&displaylang;=en

• Windows 2000：

  </https：>https：

• Windows 2000 Service Pack 4：

  https://www.microsoft.com/download/details.aspx?FamilyId=065DCA01-1F6F-4F88-AE9E-6F4636D43D9F&displaylang;=en

• Windows XP 和 Windows XP 64 位版本：

  https://www.microsoft.com/windowsxp/downloads/updates/Q329115.mspx

• Microsoft 办公室 v.X for Mac：

  </https：>https：

• Microsoft 办公室 2001 for Mac：

  </https：>https：

• Microsoft 办公室 98 for the Macintosh：

  </https：>https：

• Microsoft Internet Explorer for Mac（适用于 OS 8.1 到 9.x）：

  </https：>https：

• Microsoft Internet Explorer for Mac（适用于 OS X）：

  </https：>https：

• Microsoft Outlook Express 5.0.6 for Mac：

  </https：>https：

有关此修补程序的其他信息

安装平台：

• 对于 Windows 平台， 需要受支持的 Internet Explorer 版本。
• Windows 98 修补程序可以安装在运行 Windows 98 Gold 的系统上。
• Windows 98 Second Edition 的修补程序可以安装在运行 Windows 98 Second Edition Gold 的系统上。
• Windows Millennium 修补程序可以安装在运行 Windows Millennium Gold 的系统上。
• 可以在运行 Windows NT 4.0 Service Pack 6a 的系统上安装 Windows NT 4.0 修补程序。
• Windows NT 4.0 终端服务器版的修补程序可以安装在运行 Windows NT 4.0、Terminal Server Edition Service Pack 6 的系统上。
• Windows 2000 修补程序可以安装在运行 Windows 2000 Service Pack 2 或 Service Pack 3 的系统上。
• Windows XP 的修补程序可以安装在运行 Windows XP Gold 和即将推出的 Windows XP Service Pack 1 的系统上。
• Microsoft 办公室 v.X for Mac 的修补程序可以安装在运行 Mac OS X 10.1 或更高版本的系统上。
• Microsoft 办公室 2001 for Mac 的修补程序可以安装在运行 Mac OS 8.1 或更高版本的系统上。
• Microsoft 办公室 98 for macintosh 的修补程序可以安装在运行 Mac OS 8.1 或更高版本的系统上。
• Microsoft Internet Explorer for Mac（for Mac OS 8.1 到 9.x）的修补程序可以安装在运行 Mac OS 8.1 或更高版本的系统上。
• Microsoft Internet Explorer for Mac（for Mac OS X）的修补程序可以安装在运行 Mac OS X 版本 10.1 或更高版本的系统上。

包含在将来的 Service Pack 中：

此问题的修补程序将包含在 Windows 2000 Service Pack 4 和 Windows XP Service Pack 2 中。

需要重新启动：

• Microsoft Windows 98：是
• Microsoft Windows 98 Second Edition：是
• Microsoft Windows Me：是
• Microsoft Windows NT 4.0：是
• Microsoft Windows NT 4.0 终端服务器版本：是
• Microsoft Windows 2000：是
• Microsoft Windows XP：是
• Microsoft 办公室 for Mac：否
• Microsoft Internet Explorer for Mac：否
• Microsoft Outlook Express for Mac：否

可以卸载修补程序：

• Microsoft Windows 98：否
• Microsoft Windows 98 Second Edition：否
• Microsoft Windows Me：否
• Microsoft Windows NT 4.0：是
• Microsoft Windows NT 4.0 终端服务器版本：是
• Microsoft Windows 2000：是
• Microsoft Windows XP：是
• Microsoft 办公室 for Mac：否
• Microsoft Internet Explorer for Mac：否
• Microsoft Outlook Express for Mac：否

取代的修补程序： 无。

验证修补程序安装：

Windows 98、Windows 98 Second Edition 和 Windows Me：

• 若要验证该修补程序是否已安装在计算机上，请使用 Qfe检查.exe 工具并确认显示包括以下信息：“Windows XX Q329115更新”，其中 XX 是 Windows 98 或 Windows 98 Second Edition 的“98”，或 Windows Me 的“千年版”。
• 若要验证各个文件，请参阅知识库文章Q329115中的文件清单。

Windows NT 4.0：

• 若要验证是否已在计算机上安装修补程序，请确认计算机上已创建以下注册表项：

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q329115。

• 若要验证各个文件，请参阅知识库文章Q329115中的文件清单。

Windows NT 4.0 终端服务器版本：

• 若要验证是否已在计算机上安装修补程序，请确认计算机上已创建以下注册表项：

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q329115。

• 若要验证各个文件，请参阅知识库文章Q329115中的文件清单。

Windows 2000：

• 若要验证是否已在计算机上安装修补程序，请确认计算机上已创建以下注册表项：

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP4\Q329115。

• 若要验证各个文件，请使用以下注册表项中提供的日期/时间和版本信息：

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP4\Q329115\Filelist

Windowsxp：

• 若要验证是否已在计算机上安装修补程序，请确认计算机上已创建以下注册表项：

  HKLM\Software\Microsoft\汇报\Windows XP\SP2\Q329115。

• 若要验证各个文件，请使用以下注册表项中提供的日期/时间和版本信息：

  HKLM\Software\Microsoft\汇报\Windows XP\SP2\Q329115\Filelist

注意：

首先安装此安全修补程序，然后将其系统升级到 Internet Explorer Service Pack 1 的客户需要通过访问提供的下载链接或通过Windows 更新获取修补程序来重新应用修补程序。

本地化：

此修补程序的本地化版本在“修补程序可用性”中讨论的位置可用。

获取其他安全修补程序：

可从以下位置获取其他安全问题的修补程序：

• 安全修补程序可从 Microsoft 下载中心获取，可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
• WindowsUpdate 网站提供了使用者平台的修补程序

其他信息：

确认

Microsoft 感谢 英国国家基础设施安全协调中心（NISCC）报告新发现的变体，并与我们合作保护客户。

支持：

• Microsoft 知识库文章Q329115讨论此问题，将在发布此公告大约 24 小时后提供。 可以在 Microsoft Online 支持网站上找到知识库文章。
• Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。

安全资源：Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明：

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修改：

• V1.0（2002 年 9 月 4 日）：公告已创建。
• V2.0（2002 年 9 月 5 日）：公告已更新，包括 Windows 98、Windows 98 Second Edition 和 Windows Me 的修补程序可用性。
• V2.1（2002 年 9 月 5 日）：公告已更新，以提供指向所有 Windows XP 修补程序的单一下载页面的链接。
• V2.2（2002 年 9 月 5 日）：公告更新为正确引用受支持语言的 XP 下载位置。
• V3.0（2002 年 9 月 9 日）：公告已更新，以建议客户提供 Windows 2000 版本的修补程序的可用性，并在“注意事项”部分包含信息。
• V3.1（2002 年 9 月 18 日）：公告已更新为更改 Windows Me 下载链接。
• V3.2（2002 年 9 月 20 日）：安装平台部分已更新，以指示 Windows 平台上需要受支持的 Internet Explorer 版本。
• V3.3（2002 年 10 月 17 日）：公告已更新，以告知客户 Mac 修补程序的可用性。
• V4.0（2002 年 11 月 20 日）：公告更新为建议更新修补程序的可用性，以消除公告 V3.0 中讨论的注意事项以及漏洞的新变体。
• V4.1（2003 年 2 月 28 日）：公告更新为建议先安装此安全修补程序，然后将系统升级到 Internet Explorer 6.0 Service Pack 1 的客户需要重新应用修补程序。
• V4.2 （2003 年 7 月 24 日）：更新的 Mac 下载链接。
• V5.0（2003 年 11 月 11 日）：公告已更新，建议安装 Windows 2000 Service Pack 4 的客户提供新的安全修补程序，然后安装 Internet Explorer 6.0 Service Pack 1。

构建于 2014-04-18T13：49：36Z-07：00</https：>