通过

安全公告

Microsoft 安全公告 MS03-013 - 重要

Windows 内核消息处理中的缓冲区溢出可能导致提升的权限(811493)

发布时间: 2003 年 4 月 16 日 |更新时间:2003 年 8 月 25 日

版本: 2.1

最初发布: 2003 年 4 月 16 日
更新时间: 2003 年 8 月 25 日

总结

谁应阅读此公告:管理员 Microsoft® Windows NT® 4.0、Windows® 2000 和 Windows® XP 系统的管理员。

漏洞的影响: 本地特权提升

最大严重性分级: 重要

建议: 客户应尽早安装修补程序。

受影响的软件:

  • Microsoft Windows NT 4.0
  • Microsoft Windows NT 4.0 Server, Terminal Server Edition
  • Microsoft Windows 2000
  • Microsoft Windows XP

受影响的软件:

  • Windows Server 2003

最终用户公告: 此公告的最终用户版本位于: https:

常规信息

技术详细信息

技术说明:

Microsoft 于 2003 年 5 月 28 日重新发布此公告,以建议更新的 Windows XP Service Pack 1 修补程序的可用性。 此修订后的修补程序更正了某些客户使用原始 Windows XP Service Pack 1 修补程序时遇到的性能问题。

Microsoft 最初于 2003 年 4 月 16 日发布此公告。 在该日期之后,Microsoft 收到了一些 Windows XP Service Pack 1 客户的修补程序的性能问题报告。 此原始 Windows XP Service Pack 1 修补程序确实解决了此安全公告中讨论的安全漏洞。 Microsoft 调查了此性能问题,并确认在原始修补程序应用于 Windows XP Service Pack 1 系统时可能存在性能问题。 Microsoft 发布了一篇知识库文章,819634,该文章描述了可能导致性能问题在原始修补程序中自行体现的已知情况。 Microsoft 随后重新发布了 Windows XP Service Pack 1 修补程序以更正性能问题。 可以从本公告后面所述的位置下载此修订后的修补程序。

Windows 内核是操作系统的核心。 它提供系统级服务(如设备和内存管理),为进程分配处理器时间并管理错误处理。 内核将错误消息传递给调试器的方式存在缺陷。 漏洞导致,因为攻击者可以编写程序来利用此缺陷并运行他们选择的代码。 攻击者可以利用此漏洞对系统采取任何操作,包括删除数据、添加具有管理访问权限的帐户或重新配置系统。

要使攻击成功,攻击者需要能够通过控制台或通过终端会话以交互方式登录到系统。 此外,成功的攻击需要引入代码才能利用此漏洞。 由于最佳做法建议限制在服务器上以交互方式登录的能力,因此此问题最直接影响客户端系统和终端服务器。

缓解因素:

  • 成功的攻击需要能够直接在控制台或通过终端会话以交互方式登录到目标计算机。
  • 安全正确的服务器将面临此漏洞的风险很小。 标准最佳做法建议仅允许受信任的管理员以交互方式登录到此类系统;如果没有此类特权,攻击者无法利用漏洞。

严重性分级:
Windows NT 4.0 重要
Windows NT 4.0 终端服务器版本 重要
Windows 2000 重要
Windows XP 重要

上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。

漏洞标识符:CAN-2003-0112

测试的版本:

Microsoft 测试了 Windows NT4、Windows 2000 和 Windows XP,以评估它们是否受这些漏洞的影响。 以前的版本不再 受支持,可能会或不受这些漏洞的影响。

常见问题解答

为什么 Microsoft 重新发布此公告?
在发布此公告和相关修补程序之后,Windows XP Service Pack 1 版本的修补程序发现了性能相关问题。 此问题与本公告中讨论的安全漏洞无关,但此问题导致一些客户在应用修补程序后注意到 Windows XP SP1 系统上的性能下降。 Microsoft 已更正此问题,并在 2003 年 5 月 28 日重新发布此公告,以建议 Windows XP Service Pack 1 的修订修补程序的可用性。

漏洞的范围是什么?
这是 特权提升 漏洞。 能够以交互方式登录到系统并运行所选代码的攻击者可以寻求利用此漏洞,并使用更高权限运行自己选择的代码。 这可能导致攻击者对系统执行任何操作,包括创建管理帐户或修改或删除数据。 由于成功的攻击需要攻击者能够以交互方式登录并运行程序,因此受此漏洞影响的系统很可能是客户端系统和终端服务器,这些服务器定期允许最终用户直接访问系统。 通常将邮件服务器、数据库服务器、应用程序服务器和文件服务器等服务器配置为限制用户以交互方式登录的能力,因此不太可能受到此漏洞的影响。

导致漏洞的原因是什么?
由于 Windows 内核使用未检查缓冲区将错误消息传递给调试器,导致漏洞。

什么是 Windows 内核?
Windows 内核是 Windows 操作系统的核心。 它提供基本服务,例如内存和设备管理,所有其他应用程序都依赖于这些服务。

什么是调试器?
调试器是一种软件程序,它通过询问系统上运行的代码,为系统管理员和开发人员提供一种对 Windows 上运行的程序进行故障排除的方法。 调试器的工作原理是“附加”到特定进程,然后侦听来自该进程的错误消息。 检测到错误消息后,调试器会显示错误消息以允许分析。 内核管理来自调试器的消息的传递。 Windows NT、Windows 2000 和 Windows XP 包括调试器。

内核在 Windows 中处理调试消息的方式有什么问题?
Windows 内核存在缺陷,原因是传出错误消息的允许大小存在差异,以及可以接收该错误消息的缓冲区的大小。 这意味着,如果在内核和调试器之间传递了一条过大的消息,则可能会导致缓冲区溢出。 缺陷位于 Windows 内核中,以及它将消息传递到调试器的方式,而不是在调试器本身中。

此漏洞使攻击者能够执行哪些操作?
具有足够权限以交互方式登录的攻击者可以使用此漏洞运行其选择的代码。 例如,攻击者可以执行允许添加具有管理权限的帐户、删除关键系统文件或更改安全设置的代码。 请务必注意,攻击者需要能够以交互方式登录到系统。 远程用户或匿名用户无法利用此漏洞。

攻击者如何利用此漏洞?
攻击者可以通过编写一个程序来利用此漏洞,该程序会将大量特殊格式的调试程序消息发送到 Windows 内核以及从 Windows 内核发送消息,从而溢出受影响的缓冲区。 这可能导致攻击者运行自己选择的代码,这可用于提升特权。 要使攻击成功,攻击者需要能够以交互方式登录,并向系统引入恶意代码。 最佳做法表明,用户登录和加载程序的能力应根据最低特权规则进行限制,从而缓解成功攻击的可能性。

修补程序的作用是什么?
修补程序通过正确处理从 Windows 内核发送到调试程序的信息来解决漏洞。

在下面的“其他信息”部分中,你指出 Windows 2000 修补程序取代了适用于 MS03-007Windows 2000 修补程序。此修补程序是否更正了 MS03-007 的“注意事项”部分中讨论的问题?
是 - MS03-007 的问题是由修补程序中不存在的依赖文件引起的。 此文件依赖项仅在非常特定的情况下显示自身 -- 系统需要运行 Windows 2000 Service Pack 2 ,并且 还安装了少量的非安全修补程序之一,必须从 Microsoft 产品支持服务获取。 此安全漏洞的 Windows 2000 修补程序包括依赖文件,还包括 MS03-007修补程序。 这意味着修补程序将安装在上面所述的系统上,而不会导致与 MS03-007 修补程序相同的问题

修补程序可用性

下载此修补程序的位置

有关此修补程序的其他信息

安装平台:

包含在将来的 Service Pack 中:

此问题的修补程序将包含在 Windows 2000 Service Pack 4 和 Windows XP Service Pack 2 中。

需要重新启动:

可以卸载修补程序:

取代的修补程序:

  • Windows 2000 修补程序取代了 Microsoft 安全公告 MS03-007 中讨论的 Windows 2000 修补程序。
  • Windows NT 4.0 和 Windows XP 修补程序不会取代任何其他修补程序。

验证修补程序安装:

  • Windows NT 4.0:

    若要验证该修补程序是否已安装在计算机上,请确认知识库文章811493中列出的文件清单中列出的所有文件都存在于系统上。

  • Windows NT 4.0 终端服务器版本:

    若要验证该修补程序是否已安装在计算机上,请确认知识库文章811493中列出的文件清单中列出的所有文件都存在于系统上。

  • Windows 2000:

    若要验证是否已在计算机上安装修补程序,请确认计算机上已创建以下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP4\Q811493。

    若要验证各个文件,请使用以下注册表项中提供的日期/时间和版本信息:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP4\Q811493\Filelist。

  • Windowsxp:

    • 如果在 Windows XP Gold 上安装:

      若要验证是否已安装修补程序,请确认计算机上已创建以下注册表项:HKLM\Software\Microsoft\汇报\Windows XP\SP1\Q811493。

      若要验证各个文件,请使用以下注册表项中提供的日期/时间和版本信息:HKLM\Software\Microsoft\汇报\Windows XP\SP1\Q811493\Filelist。

    • 如果在 Windows XP Service Pack 1 上安装:

      若要验证是否已安装修补程序,请确认计算机上已创建以下注册表项:HKLM\Software\Microsoft\汇报\Windows XP\SP2\Q811493。

      若要验证各个文件,请使用以下注册表项中提供的日期/时间和版本信息:HKLM\Software\Microsoft\汇报\Windows XP\SP2\Q811493\Filelist。

注意:

无。

本地化

此修补程序的本地化版本在“修补程序可用性”中讨论的位置可用。

获取其他安全修补程序:

可从以下位置获取其他安全问题的修补程序:

  • 安全修补程序可从 Microsoft 下载中心获取,可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
  • WindowsUpdate 网站提供了使用者平台的修补程序

其他信息:

确认

Microsoft 感谢 Entercept™ 安全技术的 Oded Horovitz 向我们报告此问题,并与我们合作来保护客户。

支持

  • Microsoft 知识库文章 811493 讨论此问题。 可以在 Microsoft Online 支持网站上找到知识库文章。
  • Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。

安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修改:

  • V1.0 2003 年 4 月 16 日:已创建公告。
  • V1.1 2003 年 4 月 17 日:包括 Windows 2000 的正确修补程序取代信息。
  • V1.2 2 2003 年 4 月 23 日:添加了有关 Windows XP SP1 修补程序的性能相关问题的信息
  • V1.3 2003 年 4 月 23 日:添加了指向讨论 Windows XP SP1 修补程序性能相关问题知识库(KB)文章的链接
  • V2.0 2003 年 5 月 28 日:重新发布建议更新的 Windows XP SP1 修补程序的可用性,以更正性能问题
  • V2.1 2003 年 8 月 25 日:更正了重复版本号

构建于 2014-04-18T13:49:36Z-07:00</https:>