安全公告
Microsoft 安全公告 MS04-010 - 中等
MSN Messenger 中的漏洞可能允许信息泄露(838512)
发布时间: 2004 年 3 月 9 日
版本: 1.0
发布日期: 2004 年 3 月 9 日
版本: 1.0
总结
谁应阅读本文档:
使用 Microsoft® MSN Messenger 的客户
漏洞的影响:
信息泄露
最大严重性分级:
中等
建议:
客户应考虑应用安全更新。
安全更新替换:
无
注意:
无
测试的软件和安全更新下载位置:
受影响的软件:
受影响的软件:
- Windows Messenger (所有版本)
上面列出的软件已经过测试,以确定版本是否受到影响。 其他版本要么不再包含安全修补程序支持,要么可能不受影响。 请查看Microsoft 支持部门生命周期网站,确定产品和版本的支持生命周期。
常规信息
技术详细信息
技术说明:
Microsoft MSN Messenger 中存在安全漏洞。 由于 MSN Messenger 用来处理文件请求的方法,因此存在漏洞。 攻击者可以通过向运行 MSN Messenger 的用户发送特制请求来利用此漏洞。 如果成功利用,攻击者可以在硬盘上查看文件的内容,但前提是攻击者知道文件的位置,并且用户有权读取文件的访问权限。
若要利用此漏洞,攻击者必须知道 MSN Messenger 用户的登录名称才能发送请求。
缓解因素:
- 攻击者必须知道用户的登录名称
- 如果用户通过在阻止列表中放置“所有其他用户”来阻止接收来自匿名用户的邮件,攻击者的信使帐户必须位于用户的允许列表中以利用漏洞。
- 攻击者可以访问用户具有读取访问权限的文件。 如果用户登录到具有受限权限的计算机,则会限制攻击者可以访问的文件。
严重性分级:
| Microsoft MSN Messenger 6.0 | 中等 |
| Microsoft MSN Messenger 6.1 | 中等 |
上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。
漏洞标识符:CAN-2004-0122
常见问题
漏洞的范围是什么?
这是信息 泄露 漏洞。 如果攻击者知道文件的确切位置,利用此漏洞的攻击者可以在硬盘上查看文件的内容,而用户不知道该文件的确切位置。
导致漏洞的原因是什么?
由于 MSN Messenger 使用的方法在两个 MSN Messenger 帐户之间处理文件请求,导致漏洞。 用于处理请求的方法在创建会话时不会验证请求的某些内容。
什么是 MSN Messenger?
MSN Messenger 是一个即时消息程序,允许用户互相发送即时消息,或创建其他对等会话,例如共享语音、视频或发送文件。 有关 MSN Messenger 的详细信息,请参阅以下 网站。
什么是 Windows Messenger?
Windows Messenger 也是允许与 MSN Messenger 类似的功能的即时消息程序。 Windows XP 附带 Windows Messenger,即使在计算机上安装 MSN Messenger 6.1 之后,Windows Messenger 仍可用。 Windows Messenger 可以连接到通信服务和 Exchange 即时消息,这些即时消息仅在公司中使用。 有关 Windows Messenger 的详细信息,请参阅以下 网站。
漏洞也适用于 Windows Messenger?
否 - 漏洞对于验证 MSN Messenger 使用的文件请求的方法是唯一的。
MSN Messenger 处理文件请求的方式有什么问题?
漏洞是由于 MSN Messenger 验证文件请求的方式产生的。 攻击者有可能以 MSN Messenger 允许请求在硬盘驱动器上查看文件的方式创建请求。
为什么这会带来安全漏洞?
此漏洞可以为攻击者提供查看机密文件或查看用户名或密码的方法,尽管攻击者无法编辑或更改文件。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以读取用户有权访问的任何文件(如果攻击者知道文件的位置)。 不会向用户指示攻击者正在尝试读取文件。
谁可以利用漏洞?
具有 MSN Messenger 的用户以及特定用户登录名称的知识可能会寻求利用漏洞。
更新的作用是什么?
更新通过修改 MSN Messenger 处理文件请求来消除漏洞。
安全更新信息
安装平台和先决条件:
有关平台的特定安全更新的信息,请单击相应的链接:
MSN Messenger 6.0 或 6.1
先决条件
此安全更新需要 Microsoft Windows。
重启要求
此更新可能需要重新启动计算机。
删除信息
无法卸载此更新。
验证更新安装
若要验证是否已在受影响的系统上安装安全更新,请执行以下步骤:
- 在 MSN Messenger 中,单击“帮助”,然后单击“关于”。
- 检查版本号。
如果版本号读取 6.1 (6.1.0211),则已成功安装更新。
其他信息
确认
Microsoft 感谢 以下部门与我们合作,帮助保护客户:
- qFox 和 Mephisto,用于在 MS04-010 中报告问题。
获取其他安全更新:
可从以下位置获取其他安全问题汇报:
- 安全更新可从 Microsoft 下载中心获取,可通过关键字 (keyword)搜索“security_patch”轻松找到。
- 使用者平台的汇报可从WindowsUpdate 网站。
支持:
- 美国 和加拿大的客户可从 1-866-PCSAFETY 的 Microsoft 产品支持服务 获得技术支持。 对于与安全更新关联的支持调用,不收取任何费用。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 与安全更新关联的支持不收取任何费用。 有关如何联系 Microsoft 支持部门的信息,请参阅 国际支持 网站。
适用于 Windows 的安全资源:
- Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
免责声明:
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- V1.0 2004 年 3 月 9 日:已发布公告
生成于 2014-04-18T13:49:36Z-07:00