安全公告
Microsoft 安全公告 MS04-011 - 严重
Microsoft Windows 安全更新(835732)
发布时间: 2004 年 4 月 13 日 |更新时间:2004 年 8 月 10 日
版本: 2.1
发布日期: 2004 年 4 月 13 日
更新时间: 2004 年 8 月 10 日
版本: 2.1
总结
谁应阅读本文档: 使用 Microsoft® Windows® 的客户
漏洞的影响: 远程代码执行
最大严重性分级: 严重
建议: 客户应立即应用更新。
安全更新替换: 此公告替换了之前的几个安全更新。 有关完整列表,请参阅本公告的常见问题解答(常见问题解答)部分。
注意事项: Windows NT Server 4.0 终端服务器版 Service Pack 6 的安全更新需要 Windows NT Server 4.0 终端服务器版本安全汇总包(SRP) 作为先决条件。 若要下载 SRP,请访问以下 网站。 安装此安全公告中提供的安全更新之前,必须先安装 SRP。 如果不使用 Windows NT Server 4.0 终端服务器版本 Service Pack 6,则无需安装 SRP。
Microsoft 知识库文章 835732 记录客户安装此安全更新时可能会遇到的当前已知问题。 本文还记录了针对这些问题的建议解决方案。 有关详细信息,请参阅 Microsoft 知识库文章 835732。
测试的软件和安全更新下载位置:
受影响的软件:
- Microsoft Windows NT® Workstation 4.0 Service Pack 6a - 下载更新
- Microsoft Windows NT Server 4.0 Service Pack 6a - 下载更新
- Microsoft Windows NT Server 4.0 终端服务器版本 Service Pack 6 - 下载更新
- Microsoft Windows 2000 Service Pack 2、Microsoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4 - 下载更新
- Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1 - 下载更新
- Microsoft Windows XP 64 位版 Service Pack 1 - 下载更新
- Microsoft Windows XP 64 位版本 2003 - 下载更新
- Microsoft Windows Server™ 2003 - 下载更新
- Microsoft Windows Server 2003 64 位版 - 下载更新
- Microsoft NetMeeting
- Microsoft Windows 98、Microsoft Windows 98 Second Edition(标准版)和 Microsoft Windows Millennium Edition (ME) - 有关这些操作系统的详细信息,请查看本公告的常见问题解答部分。
上面列出的软件已经过测试,以确定版本是否受到影响。 其他版本要么不再包含安全更新支持,要么可能不受影响。 若要确定产品和版本的支持生命周期,请访问以下Microsoft 支持部门生命周期网站。
常规信息
技术详细信息
摘要:
Microsoft 于 2004 年 6 月 15 日重新发布此公告,建议提供适用于泛中文的更新 Windows NT 4.0 工作站更新。
此修订后的更新更正了某些客户在原始更新中遇到的安装问题。 此问题与本公告中讨论的安全漏洞无关。 但是,此问题导致某些客户难以安装更新。 如果以前已应用此安全更新,则需要安装此更新,以避免在安装将来的安全更新时出现潜在问题。 此问题仅影响更新的泛中文版本,并且仅重新发布这些版本的更新。 此更新的其他语言版本不会受到影响,并且不会重新发布。
此更新可解决多个新发现的漏洞。 此公告中记录了每个漏洞,其各自的部分。
成功利用这些漏洞最严重漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
Microsoft 建议客户立即应用更新。
严重性分级和漏洞标识符:
漏洞标识符 | 漏洞的影响 | Windows 98、98 标准版、ME | Windows NT 4.0 | Windows 2000 | Windows XP | Windows Server 2003 |
---|---|---|---|---|---|---|
LSASS 漏洞 - CAN-2003-0533 | 远程代码执行 | 无 | 无 | 严重 | 严重 | 低 |
LDAP 漏洞 - CAN-2003-0663 | 拒绝服务 | 无 | 无 | 重要 | 无 | 无 |
PCT 漏洞 - CAN-2003-0719 | 远程代码执行 | 无 | 严重 | 严重 | 重要 | 低 |
Winlogon 漏洞 - CAN-2003-0806 | 远程代码执行 | 无 | 适中 | 适中 | 适中 | 无 |
图元文件漏洞 - CAN-2003-0906 | 远程代码执行 | 无 | 严重 | 严重 | 严重 | 无 |
帮助和支持中心漏洞 - CAN-2003-0907 | 远程代码执行 | 无 | None | 无 | 严重 | 严重 |
实用工具管理器漏洞 - CAN-2003-0908 | 特权提升 | 无 | 无 | 重要 | 无 | 无 |
Windows 管理漏洞 - CAN-2003-0909 | 特权提升 | 无 | None | 无 | 重要 | 无 |
本地描述符表漏洞 - CAN-2003-0910 | 特权提升 | 无 | 重要 | 重要 | 无 | 无 |
H.323 漏洞* - CAN-2004-0117 | 远程代码执行 | 不关键 | 无 | 重要 | 重要 | 重要 |
虚拟 DOS 计算机漏洞 - CAN-2004-0118 | 特权提升 | 无 | 重要 | 重要 | 无 | 无 |
协商 SSP 漏洞 - CAN-2004-0119 | 远程代码执行 | 无 | 无 | 严重 | 严重 | 严重 |
SSL 漏洞 - CAN-2004-0120 | 拒绝服务 | 无 | 无 | 重要 | 重要 | 重要 |
ASN.1“双重释放”漏洞 - CAN-2004-0123 | 远程代码执行 | 不关键 | 严重 | 严重 | 严重 | 严重 |
所有漏洞的聚合严重性 | 不关键 | 严重 | 严重 | 严重 | 严重 |
*请注意,H.323 漏洞的严重性分级 - CAN-2004-0117 对于独立版本的 NetMeeting 非常重要。 若要下载解决此漏洞的 NetMeeting 的更新版本,请访问以下 网站。 此版本的 NetMeeting 可以安装在运行 Windows 98、Windows 98 Second Edition、Windows Millennium Edition 和 Windows NT 4.0 的所有系统上。 解决此漏洞的 NetMeeting 的更新版本为版本 3.01(4.4.3399)。
上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。
与此安全更新相关的常见问题(常见问题解答)
为什么 Microsoft 重新发布了此公告?
Microsoft 于 2004 年 6 月 15 日重新发布此公告,建议提供适用于泛中文的更新 Windows NT 4.0 工作站更新。
此修订后的更新更正了某些客户在原始更新中遇到的安装问题。 此问题与本公告中讨论的安全漏洞无关。 但是,此问题导致某些客户难以安装更新。 如果以前已应用此安全更新,则需要安装此更新,以避免在安装将来的安全更新时出现潜在问题。 此问题仅影响更新的泛中文版本,并且仅重新发布这些版本的更新。 此更新的其他语言版本不会受到影响,并且不会重新发布。
为什么此更新解决了多个报告的安全漏洞?
此更新包含对多个漏洞的支持,因为解决这些问题所需的修改位于相关文件中。 客户只能安装此更新,而无需安装包含几乎完全相同文件的多个更新。
此版本将替换哪些更新?
此安全更新取代了之前的几个安全公告。 下表列出了受影响的安全公告 ID 和操作系统。
公告 ID | Windows NT 4.0 | Windows 2000 | Windows XP | Windows Server 2003 |
---|---|---|---|---|
MS99-023 | Replaced | 不适用 | 不适用 | 不适用 |
MS00-027 | 未替换 | Replaced | 不适用 | 不适用 |
MS00-032 | 不适用 | Replaced | 不适用 | 不适用 |
MS00-070 | 未替换 | Replaced | 不适用 | 不适用 |
MS02-050 | Replaced | 未替换 | 未替换 | 不适用 |
MS02-051 | 不适用 | Replaced | 未替换 | 不适用 |
MS02-071 | Replaced | Replaced | 未替换 | 不适用 |
MS03-007 | 未替换 | Replaced | 未替换 | 不适用 |
MS03-013 | Replaced | Replaced | 未替换 | 不适用 |
MS03-025 | 不适用 | Replaced | 不适用 | 不适用 |
MS03-041 | Replaced | 未替换 | 未替换 | 未替换 |
MS03-045 | Replaced | Replaced | 未替换 | 未替换 |
MS04-007 | Replaced | Replaced | Replaced | Replaced |
此更新是累积安全更新还是安全更新汇总?
均不。 累积安全更新通常包括对所有以前的更新的支持。 此更新不包括对所有操作系统上所有以前的所有更新的支持。
安全更新汇总通常用于将以前的版本合并为单个更新,以便更轻松地安装和更快地下载。 安全更新汇总通常不包括用于解决新漏洞的修改;此更新确实如此。
对 Windows 98、Windows 98 Second Edition 和 Windows Millennium Edition 的扩展支持如何影响这些操作系统安全更新的发布?
Microsoft 将仅发布针对严重安全问题的安全更新。 此支持期间不提供非关键安全问题。 有关这些操作系统的Microsoft 支持部门生命周期策略的详细信息,请访问以下网站。
有关严重性分级的详细信息,请访问以下 网站。
Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 是否受到此安全公告中解决的任何漏洞的影响?
否。 这些漏洞在 Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 上的严重性都不是严重性的。
此更新是否包含对功能的任何其他更改?
是的。 除了此公告的每个漏洞详细信息部分中列出的更改外,此更新还包括以下功能更改:以文件扩展名“.folder”结尾的文件不再与目录关联。 受影响的操作系统仍支持具有此扩展名的文件。 但是,这些文件将不再显示为 Windows 资源管理器和其他程序中的目录。
是否可以使用 Microsoft 基线安全分析器(MBSA)来确定是否需要此更新?
是的。 MBSA 将确定是否需要此更新。 但是,MBSA 目前不支持用于检测的 NetMeeting 独立版本。 如果已在 Windows NT 4.0 系统上安装 NetMeeting 的独立版本,MBSA 将不会提供所需的更新。 若要下载解决 H.323 漏洞(CAN-2004-0117)的 NetMeeting 更新的独立版本,请访问以下 网站。 MBSA 确实检测到作为 Windows 2000、Windows XP 或 Windows Server 2003 随附的 NetMeeting 版本是否需要 H.323 漏洞(CAN-2004-0117)的更新。
有关 H.323 漏洞(CAN-2004-0117)的详细信息,请参阅本公告的漏洞详细信息部分。 有关 MBSA 的详细信息,请访问 MBSA 网站。 有关 MBSA 检测限制的详细信息,请参阅 Microsoft 知识库文章 306460。
这与公告的初始版本有何变化?
当公告于 2004 年 4 月 13 日发布时,Windows NT 4.0 禁用了针对此安全更新的 MBSA 检测,因为此公告前面所述的 NetMeeting 独立版本缺乏检测支持。 这在 2004 年 4 月 21 日发生了变化。 MBSA 现在将检测 Windows NT 4.0 是否需要此安全更新,即使存在此限制。
是否可以使用系统管理服务器(SMS)来确定是否需要此更新?
是的。 SMS 可帮助检测和部署此安全更新。 有关短信的信息,请访问 SMS 网站。 SMS 使用 MBSA 进行检测;因此,此公告前面列出了与 NetMeeting 独立版本相关的短信相同的限制。
是否可以使用系统管理服务器(SMS)来确定是否已在 Windows NT 4.0 系统上安装了 NetMeeting 的独立版本?
是的。 SMS 可以帮助检测 Windows NT 4.0 系统是否需要更新的独立 NetMeeting 版本。 短信可以搜索文件“Conf.exe” 的状态。 版本 3.01(4.4.3399)之前的所有版本都应更新。
漏洞详细信息
LSASS 漏洞 - CAN-2003-0533:
LSASS 中存在缓冲区溢出漏洞,该漏洞可能允许在受影响的系统上执行远程代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
LSASS 漏洞的缓解因素 - CAN-2003-0533:
- 只有 Windows 2000 和 Windows XP 可由匿名用户远程攻击。 虽然 Windows Server 2003 和 Windows XP 64 位版本 2003 包含漏洞,但只有本地管理员可以利用它。
- Windows NT 4.0 不受此漏洞的影响。
- 防火墙最佳做法和标准默认防火墙配置可以帮助保护网络免受源自企业外围的攻击。 最佳做法建议连接到 Internet 的系统公开的端口数量最少。
LSASS 漏洞的解决方法 - CAN-2003-0533:
Microsoft 已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,会在下面标识它。
创建名为 %systemroot%\debug\dcpromo.log的文件,并使文件只读。 为此,请键入以下命令:
echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
请注意 ,这是最有效的缓解技术,因为它通过导致永远不会执行易受攻击的代码来完全缓解此漏洞。 此解决方法适用于发送到任何易受攻击端口的数据包。
使用 Windows XP 和 Windows Server 2003 附带的个人防火墙,例如Internet 连接ion 防火墙。
如果使用 Windows XP 或 Windows Server 2003 中的 Internet 连接ion 防火墙功能来帮助保护 Internet 连接,则默认情况下会阻止未经请求的入站流量。 Microsoft 建议阻止来自 Internet 的所有未经请求的入站通信。
若要使用网络设置向导启用 Internet 连接ion 防火墙功能,请执行以下步骤:
- 单击「开始」,然后单击“控制面板”。
- 在默认类别视图中,单击“网络”和“Internet 连接”,然后单击“设置”或更改家庭或小型办公室网络。 在网络设置向导中选择一个配置,指示系统直接连接到 Internet 时,将启用 Internet 连接ion 防火墙功能。
若要手动为连接配置 Internet 连接 防火墙,请执行以下步骤:
- 单击「开始」,然后单击“控制面板”。
- 在默认类别视图中,单击“网络”和“Internet 连接”,然后单击“网络连接”。
- 右键单击要启用 Internet 连接防火墙的连接,然后单击“属性”。
- 单击“高级” 选项卡。
- 单击此项可以通过限制或阻止从 Internet 检查 框中访问此计算机来选择“保护我的计算机或网络”,然后单击“确定”。
请注意,如果要通过防火墙启用某些程序和服务的使用,请单击“高级”选项卡上的设置,然后选择所需的程序、协议和服务。
在防火墙上阻止以下内容:
- UDP 端口 135、137、138 和 445 和 TCP 端口 135、139、445 和 593
- 大于 1024 的端口上所有未经请求的入站流量
- 任何其他专门配置的 RPC 端口
这些端口用于启动与 RPC 的连接。 在防火墙中阻止它们有助于防止防火墙后面的系统尝试利用此漏洞。 此外,请确保阻止远程系统上任何其他专门配置的 RPC 端口。 Microsoft 建议阻止来自 Internet 的所有未经请求的入站通信,以帮助防止可能使用其他端口的攻击。 有关 RPC 使用的端口的详细信息,请访问以下 网站。
在支持此功能的系统上启用高级 TCP/IP 筛选。
可以启用高级 TCP/IP 筛选来阻止所有未经请求的入站流量。 有关如何配置 TCP/IP 筛选的详细信息,请参阅 Microsoft 知识库文章 309798。
在受影响的系统上使用 IPSec 阻止受影响的端口。
使用 Internet 协议安全性(IPSec)来帮助保护网络通信。 有关 IPSec 以及如何应用筛选器的详细信息,请参阅 Microsoft 知识库文章 313190 和 813878。
LSASS 漏洞常见问题解答 - CAN-2003-0533:
漏洞的范围是什么?
这是 缓冲区溢出 漏洞。 成功利用此漏洞的攻击者可以远程控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
导致漏洞的原因是什么?
LSASS 服务中的未检查缓冲区。
什么是 LSASS?
本地安全机构子系统服务(LSASS)提供用于管理本地安全、域身份验证和 Active Directory 进程的接口。 它处理客户端和服务器的身份验证。 它还包含用于支持 Active Directory 实用工具的功能。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统。
谁可以利用漏洞?
在 Windows 2000 和 Windows XP 上,任何向受影响的系统传递特制消息的匿名用户都可能会尝试利用此漏洞。
攻击者如何利用此漏洞?
攻击者可以通过创建特制的消息并将消息发送到受影响的系统来利用漏洞,从而可能导致受影响的系统执行代码。
攻击者还可以通过另一个向量访问受影响的组件。 例如,攻击者可以通过交互方式或使用另一个将参数传递给易受攻击的组件(本地或远程)的程序登录到系统。
哪些系统主要面临漏洞的风险?
Windows 2000 和 Windows XP 主要面临此漏洞的风险。
Windows Server 2003 和 Windows XP 64 位版本 2003 提供额外的保护,要求管理员在本地登录到受影响的系统以利用此漏洞。
更新的作用是什么?
更新通过修改 LSASS 在将消息传递给分配的缓冲区之前验证消息长度的方式来消除漏洞。
此更新还会从 Windows 2000 Professional 和 Windows XP 中删除易受攻击的代码,因为这些操作系统不需要易受攻击的接口。 这有助于防止此服务中可能存在的漏洞。
LDAP 漏洞 - CAN-2003-0663:
存在拒绝服务漏洞,可能导致攻击者向 Windows 2000 域控制器发送特制 LDAP 消息。 攻击者可能导致负责对 Active Directory 域中的用户进行身份验证的服务停止响应。
LDAP 漏洞的缓解因素 - CAN-2003-0663:
- 若要利用此漏洞,攻击者必须向域控制器发送专门制作的 LDAP 消息。 如果防火墙未阻止 LDAP 端口,攻击者不需要任何其他特权来利用此漏洞。
- 此漏洞仅影响 Windows 2000 Server 域控制器;Windows Server 2003 域控制器不受影响。
- Windows NT 4.0 和 Windows XP 不受此漏洞的影响。
- 如果攻击者成功利用了此漏洞,受影响的系统可能会显示一条警告,指出它会在 60 秒倒计时后自动重启。 在此 60 秒倒计时结束时,受影响的系统将自动重启。 重启后,受影响的系统将还原到正常功能。 但是,除非应用更新,否则受影响的系统可能会受到新的拒绝服务攻击。
- 防火墙最佳做法和标准默认防火墙配置可以帮助保护网络免受源自企业外围的攻击。 最佳做法建议连接到 Internet 的系统公开的端口数量最少。
LDAP 漏洞的解决方法 - CAN-2003-0663:
Microsoft 已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,会在下面标识它。
在防火墙上阻止 LDAP TCP 端口 389、636、3268 和 3269。
这些端口用于启动与 Windows 2000 域控制器的 LDAP 连接。 在防火墙中阻止它们有助于防止防火墙后面的系统尝试利用源自企业外围的此漏洞。 虽然其他端口可用于利用此漏洞,但列出的端口是最常见的攻击途径。 Microsoft 建议阻止来自 Internet 的所有未经请求的入站通信,以帮助防止可能使用其他端口的攻击。
解决方法的影响: 无法通过阻止这些端口的网络连接进行 Active Directory 域身份验证。
LDAP 漏洞常见问题解答 - CAN-2003-0663:
漏洞的范围是什么?
这是 拒绝服务 漏洞。 利用此漏洞的攻击者可能导致服务器自动重启,在此期间,服务器无法响应身份验证请求。 此漏洞存在于执行域控制器角色的 Windows 2000 Server 系统中。 其他 Windows 2000 系统的唯一影响是,如果客户端的域控制器停止响应,则可能无法登录到域。
导致漏洞的原因是什么?
由本地安全机构子系统服务(LSASS)专门制作的 LDAP 消息的处理。
什么是 LDAP?
轻型目录访问协议(LDAP)是一种行业标准协议,它使授权用户能够查询或修改元目录中的数据。 例如,在 Windows 2000 中,LDAP 是一种协议,用于访问 Active Directory 中的数据。
处理特制 LDAP 消息的方式有什么问题?
攻击者可以将特制的 LDAP 消息发送到 LSASS 服务,并导致它停止响应。
什么是 LSASS?
本地安全机构子系统服务(LSASS)提供用于管理本地安全、域身份验证和 Active Directory 进程的接口。 它处理客户端和服务器的身份验证。 它还包含用于支持 Active Directory 实用工具的功能。
攻击者可能使用漏洞执行哪些操作?
利用此漏洞的攻击者可能导致 LSASS 停止响应,受影响的系统重启。 受影响的系统可能会显示一条警告,指出它在 60 秒倒计时后会自动重启。 在此 60 秒倒计时期间,受影响的系统和受影响系统的用户域身份验证的控制台上的本地身份验证是不可能的。 在此 60 秒倒计时结束时,受影响的系统将自动重启。 如果用户无法对受影响的系统执行域身份验证,他们可能无法访问域资源。 重启后,受影响的系统将还原到正常功能。 但是,除非应用更新,否则它可能会受到新的拒绝服务攻击。
谁可以利用漏洞?
任何可将特制 LDAP 消息传递到受影响系统的匿名用户都可以利用此漏洞。
攻击者如何利用漏洞?
攻击者可以通过将特制的 LDAP 消息发送到单个林或多个林中的域控制器来利用此漏洞,这可能会导致整个企业中的拒绝服务到域身份验证。 这可能导致 LSASS 停止响应并导致受影响的系统重启。 攻击者不必在域中具有有效的用户帐户即可发送此专门制作的 LDAP 消息。 可以使用匿名访问来执行此攻击。
哪些系统主要面临漏洞的风险?
只有 Windows 2000 域控制器易受攻击。
我正在运行 Windows 2000。 必须更新哪些系统?
要解决此漏洞的更新必须安装在用作 Windows 2000 域控制器的系统上。 但是,可以在其他角色的 Windows 2000 Server 上安全地安装更新。 Microsoft 建议在将来可能提升为域控制器的系统上安装此更新。
更新的作用是什么?
更新通过修改 LSASS 处理特制 LDAP 消息的方式来消除漏洞。
PCT 漏洞 - CAN-2003-0719:
专用通信传输(PCT)协议中存在缓冲区溢出漏洞,该协议是 Microsoft 安全套接字层 (SSL) 库的一部分。 只有启用了 SSL 的系统(在某些情况下 Windows 2000 域控制器)易受攻击。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
缓解 PCT 漏洞的因素 - CAN-2003-0719:
- 只有启用了 SSL 的系统受到影响,通常只有服务器系统。 默认情况下,不会在任何受影响的系统上启用 SSL 支持。 但是,SSL 通常用于 Web 服务器上,以支持电子商务计划、在线银行和其他需要安全通信的程序。
- 如果管理员已手动启用 PCT(即使已启用 SSL),Windows Server 2003 才容易受到此问题的侵害。
- 在某些情况下,ISA Server 2000 或代理服务器 2.0 的 Web 发布功能可以成功阻止利用此漏洞的尝试。 测试显示,ISA Server 2000 的 Web 发布功能已启用数据包筛选,选择的所有数据包筛选选项都可以成功阻止此攻击,且不会造成明显的副作用。 代理服务器 2.0 也成功阻止了此攻击。 但是,在代理服务器 2.0 系统上应用安全更新之前,此攻击会导致代理服务器 2.0 Web 服务停止响应,并且必须重启系统。
- 防火墙最佳做法和标准默认防火墙配置可以帮助保护网络免受源自企业外围的攻击。 最佳做法建议连接到 Internet 的系统公开的端口数量最少。
适用于 PCT 漏洞的解决方法 - CAN-2003-0719:
Microsoft 已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,会在下面标识它。
通过注册表禁用 PCT 支持
此解决方法已完整记录在 Microsoft 知识库文章 187498中。 本文总结如下。
以下步骤演示如何禁用阻止受影响系统的 PCT 1.0 协议协商其使用。
请注意 ,错误地使用注册表编辑器可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 无法保证可以解决因不正确地使用注册表编辑器而导致的问题。 请慎用注册表编辑器,风险自负。
有关如何编辑注册表的信息,请查看注册表编辑器(Regedit.exe)中的“更改键和值”帮助主题或Regedt32.exe中的“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。
请注意 ,在编辑注册表之前备份注册表是个好主意。
单击“ 开始”,单击“ 运行”,键入“regedt32”(不含引号),然后单击“ 确定”。
在注册表编辑器中,找到以下注册表项:
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
在“编辑”菜单中,单击“添加值”以在服务器子项中创建名为“Enabled”的新REG_DWORD值。
在 “数据类型 ”列表中,单击 REG_DWORD。
在“值名称”文本框中,键入“已启用”(不含引号),然后单击“确定”。
请注意 ,如果此值已存在,请双击该值以编辑其当前值,然后转到步骤 6。
在二进制编辑器中,键入以下字符串,将新键值设置为等于 0:0000000。
单击“确定”,然后重启系统。
请注意,若要启用 PCT,请将“已启用”注册表项的值更改为00000001,然后重启系统。
请注意 ,如果使用 Windows XP RTM,还必须创建第二个注册表项以完全禁用 PCT。 在更高版本的 Windows XP 或其他受影响的操作系统上不需要这样做。 使用前面提供的说明,创建名为“Client”的第二个REG_DWORD值。 使用与前面所述的值相同的值。
适用于 PCT 漏洞的常见问题解答 - CAN-2003-0719:
漏洞的范围是什么?
专用通信传输(PCT)协议中存在缓冲区溢出漏洞,该协议是 Microsoft 安全套接字层 (SSL) 库的一部分。 只有启用了 SSL 的系统(在某些情况下 Windows 2000 域控制器)易受攻击。
使用 SSL 的所有程序都可能会受到影响。 尽管 SSL 通常通过使用 HTTPS 和端口 443 与 Internet Information Services 关联,但任何在受影响的平台上实现 SSL 的服务都可能容易受到攻击。 这包括包括但不限于 Microsoft Internet Information Services 4.0、Microsoft Internet Information Services 5.0、Microsoft Internet Information Services 5.1、Microsoft Exchange Server 5.5、Microsoft Exchange Server 2000、Microsoft Exchange Server 2003、Microsoft Analysis Services 2000(包含在 SQL Server 2000 中)以及使用 PCT 的任何第三方程序。 SQL Server 2000 不易受攻击,因为它专门阻止了 PCT 连接。
如果管理员已手动启用 PCT(即使已启用 SSL),Windows Server 2003 和 Internet Information Services 6.0 才容易受到此问题影响。
成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
导致漏洞的原因是什么?
SSL 库用于检查消息输入的过程。
什么是 SSL 库?
Microsoft 安全套接字层 (SSL) 库包含对许多安全通信协议的支持。 其中包括传输层安全性 1.0(TLS 1.0)、安全套接字第 3.0 层(SSL 3.0),以及较旧且很少使用的安全套接字第 2.0 层(SSL 2.0)和专用通信技术 1.0(PCT 1.0)协议。
这些协议提供服务器和客户端系统之间的加密连接。 SSL 可帮助保护跨公用网络(如 Internet)传输的信息。 SSL 支持需要 SSL 证书,该证书必须安装在服务器上。 有关 SSL 的详细信息,请参阅 Microsoft 知识库文章 245152。
什么是 PCT?
私人通信技术(PCT)是由 Microsoft 和 Visa International 开发的一种协议,用于互联网上的加密通信。 它被开发为 SSL 2.0 的替代方法。 它类似于 SSL。 消息格式非常类似,服务器可以与支持 SSL 的客户端以及支持 PCT 的客户端进行交互。
PCT 是早期协议,已由 SSL 3.0 取代,不再正式使用。 Microsoft 安全套接字层 (SSL) 库仅支持 PCT 以实现向后兼容性。 大多数新式程序和服务器都使用 SSL 3.0,并且不再需要 PCT。 有关更多详细信息,请访问 MSDN 库网站。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
谁可以利用漏洞?
任何可将特制 TCP 消息传递到受影响系统上已启用 SSL 的服务的匿名攻击者都可能会尝试利用此漏洞。
攻击者如何利用此漏洞?
攻击者可以通过已启用 SSL 的服务与受影响的系统通信并发送特制的 TCP 消息来利用此漏洞。 收到此类消息可能会导致易受攻击系统上受影响的服务以执行代码的方式失败。
攻击者还可以通过另一个向量访问受影响的组件。 例如,攻击者可以通过交互方式或使用另一个将参数传递给易受攻击的组件(本地或远程)的程序登录到系统。
哪些系统主要面临漏洞的风险?
使用 SSL 的所有程序都可能会受到影响。 尽管 SSL 通常通过使用 HTTPS 和端口 443 与 Internet Information Services 关联,但任何在受影响的平台上实现 SSL 的服务都可能容易受到攻击。 这包括但不限于 Internet Information Services 4.0、Internet Information Services 5.0、Internet Information Services 5.1、Exchange Server 5.5、Exchange Server 2000、Exchange Server 2003、Analysis Services 2000(包含在 SQL Server 2000 中)以及使用 PCT 的任何第三方程序。 SQL Server 2000 不易受攻击,因为它专门阻止了 PCT 连接。
如果管理员已手动启用 PCT(即使已启用 SSL),Windows Server 2003 和 Internet Information Services 6.0 才容易受到此问题影响。
安装了企业根证书颁发机构的 Active Directory 域也会受到此漏洞的影响,因为 Windows 2000 域控制器会自动侦听 SSL 连接。
Windows Server 2003 有何影响?
Windows Server 2003 实现 PCT 的方式包含在其他平台上找到的相同缓冲区溢出。 但是,默认情况下禁用了 PCT。 如果使用注册表项启用了 PCT 协议,则 Windows Server 2003 可能会容易受到此问题的侵害。 因此,Microsoft 正在发布 Windows Server 2003 的安全更新,该更新可更正缓冲区溢出,同时继续禁用 PCT。
更新的作用是什么?
更新通过更改 PCT 实现验证传递给它的信息的方式并禁用 PCT 协议来消除漏洞。
此更新是否引入了任何行为更改?
是的。 虽然更新确实解决了 PCT 中的漏洞,但它也会禁用 PCT,因为此协议不再使用,并且已被 SSL 3.0 取代。 此行为与 Windows Server 2003 的默认设置一致。 如果管理员需要使用 PCT,则可以使用本公告的“解决方法”部分中所述的注册表项启用它。
Winlogon 漏洞 - CAN-2003-0806:
Windows 登录进程(Winlogon)中存在缓冲区溢出漏洞。 在将值插入分配的缓冲区之前,它不会检查登录过程中使用的值的大小。 生成的溢出可能导致攻击者在受影响的系统上远程执行代码。 不是域成员的系统不受此漏洞的影响。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
Winlogon 漏洞的缓解因素 - CAN-2003-0806:
- 只有属于域成员的 Windows NT 4.0、Windows 2000 和 Windows XP 系统才会受到此漏洞的影响。 Windows Server 2003 不受此漏洞的影响。
- 攻击者需要权限来修改域中的用户对象,以尝试利用此漏洞。 通常,只有管理员成员或帐户操作员组的成员才具有此权限。 但是,此权限可能已委托给域中的其他用户帐户。
- 域通常支持审核对用户对象的更改。 可以检查这些审核记录,以确定哪些用户帐户可能已恶意修改其他用户帐户以尝试利用此漏洞。
Winlogon 漏洞的解决方法 - CAN-2003-0806:
Microsoft 已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,会在下面标识它。
减少具有帐户修改权限的用户数。
若要利用此漏洞,攻击者需要能够修改域中的用户对象。 某些组织不必要地将用户帐户添加到管理员管理员或帐户操作员组。 例如,如果支持人员代表只需要重置用户密码的能力,管理员应直接委托该权限,而无需将代表添加到帐户操作员组。 减少管理组中用户帐户的数量有助于阻止已知的攻击途径。 只有受信任的员工才应是管理组的成员。 有关域最佳做法的详细信息,请访问以下 网站。
Winlogon 漏洞常见问题解答 - CAN-2003-0806:
漏洞的范围是什么?
这是 缓冲区溢出 漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
导致漏洞的原因是什么?
Winlogon 从域读取值,但在将该值插入到分配的缓冲区之前,不会检查此值的大小。
什么是 winlogon?
Windows 登录过程(Winlogon)是提供交互式登录支持的 Windows 操作系统的组件。 Winlogon.exe是管理 Windows 中与安全相关的用户交互的过程。 它处理登录和注销请求、锁定或解锁系统、更改密码和其他请求。 它在登录过程中从域读取数据,并使用此数据配置用户的环境。 有关 Winlogon 的详细信息,请访问 MSDN 库网站。
什么是域?
域可用于存储有关几乎任何网络对象的信息,例如打印机、文件共享位置和个人信息。 有关使用 Windows 2000 Server 或 Windows Server 2003 创建域的详细信息,请访问以下 网站。
此漏洞使攻击者能够执行哪些操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
谁可以利用漏洞?
攻击者需要权限来修改域中的用户对象,以尝试利用此漏洞。 通常,只有管理员成员或帐户操作员组的成员才具有此权限。 但是,此权限可能已委托给域中的其他用户帐户。 没有此权限或匿名用户的用户帐户无法利用此漏洞。
攻击者如何利用此漏洞?
攻击者可以专门修改存储在域中的值以包含恶意数据。 当此值在登录过程中传递给 Winlogon 中的未检查缓冲区时,Winlogon 可能会允许执行恶意代码。
哪些系统主要面临漏洞的风险?
只有属于域成员的 Windows NT 4.0、Windows 2000 和 Windows XP 系统才会受到此漏洞的影响。
更新的作用是什么?
此更新通过修改 Winlogon 进程在将值传递给分配的缓冲区之前验证值的长度的方式来消除漏洞。
图元文件漏洞 - CAN-2003-0906:
缓冲区溢出漏洞存在于 Windows 图元文件(WMF)和增强型图元文件(EMF)图像格式的呈现中,这些格式可能允许在受影响的系统上执行远程代码。 在受影响的系统上呈现 WMF 或 EMF 图像的任何程序都容易受到此攻击的影响。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
缓解图元文件漏洞的因素 - CAN-2003-0906:
- 该漏洞只能由说服用户打开特制文件或查看包含特制图像的目录的攻击者利用。 攻击者无法强制用户打开恶意文件。
- 在基于 Web 的攻击方案中,攻击者必须托管包含用于利用此漏洞的网页的网站。 攻击者无法强制用户访问恶意网站。 相反,攻击者必须说服他们访问该网站,通常是通过让他们单击一个链接,将他们带到攻击者的网站。
- 成功利用此漏洞的攻击者可能会获得与用户相同的权限。 其帐户配置为在系统上拥有较少权限的用户的风险将低于使用管理权限的用户。
- Windows Server 2003 不受此漏洞的影响。
图元文件漏洞的解决方法 - CAN-2003-0906:
Microsoft 已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,会在下面标识它。
如果使用 Outlook 2002 或更高版本或 Outlook Express 6 SP1 或更高版本,以纯文本格式阅读电子邮件,以帮助保护自己免受 HTML 电子邮件攻击途径。
已应用 办公室 XP Service Pack 1 或更高版本的 Microsoft Outlook 2002 用户以及应用 Internet Explorer 6 Service Pack 1 的 Microsoft Outlook Express 6 用户可以启用此设置,并仅查看纯文本中所有未数字签名的电子邮件或非加密的电子邮件。
数字签名的电子邮件或加密的电子邮件不受设置的影响,并且可能以原始格式读取。 有关在 Outlook 2002 中启用此设置的详细信息,请参阅 Microsoft 知识库文章 307594。
有关 Outlook Express 6 中的此设置的信息,请参阅 Microsoft 知识库文章 291387。
解决方法的影响: 以纯文本格式查看的电子邮件将不包含图片、专用字体、动画或其他丰富内容。 此外:
- 更改将应用于预览窗格并打开消息。
- 图片成为附件,因此它们不会丢失。
- 由于消息在存储中仍采用 RTF 或 HTML 格式,因此对象模型(自定义代码解决方案)的行为可能出人意料。
图元文件漏洞常见问题解答 - CAN-2003-0906:
漏洞的范围是什么?
这是 缓冲区溢出 漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
导致漏洞的原因是什么?
呈现 Windows 图元文件(WMF)和增强图元文件(EMF)图像格式的未检查缓冲区。
什么是 Windows 图元文件(WMF)和增强型图元文件(EMF)图像格式?
WMF 图像是一种 16 位图元文件格式,可以同时包含矢量信息和位图信息。 它针对 Windows 操作系统进行优化。
EMF 图像是一种 32 位格式,可以同时包含矢量信息和位图信息。 此格式是对 Windows 图元文件格式的改进,包含扩展功能。
有关图像类型和格式的详细信息,请参阅 Microsoft 知识库文章 320314。 MSDN 库网站也提供了有关这些文件格式的其他信息。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
攻击者如何利用此漏洞?
呈现受影响图像类型的任何程序都容易受到此攻击的影响。 以下是一些示例:
- 攻击者可以托管一个恶意网站,该网站旨在通过 Internet Explorer 6 利用此漏洞,然后说服用户查看网站。
- 攻击者还可以创建附加了特制图像的 HTML 电子邮件。 特制图像旨在通过 Outlook 2002 或 Outlook Express 6 利用此漏洞。 攻击者可能会说服用户查看 HTML 电子邮件。
- 攻击者可以在办公室文档中嵌入特制图像,然后说服用户查看文档。
- 攻击者可以将特制图像添加到本地文件系统或网络共享,然后说服用户在 Windows XP 中使用 Windows 资源管理器预览目录。
哪些系统主要面临漏洞的风险?
此漏洞只能被攻击者利用,攻击者说服用户打开专门制作的文件或查看包含特制图像的目录。 攻击者无法强制用户打开恶意文件。
在基于 Web 的攻击方案中,攻击者必须托管包含用于利用此漏洞的网页的网站。 攻击者无法强制用户访问恶意网站。 相反,攻击者必须说服他们访问该网站,通常是通过让他们单击一个链接,将他们带到攻击者的网站。
更新的作用是什么?
更新通过修改 Windows 验证受影响的映像类型的方式来删除漏洞。
帮助和支持中心漏洞 - CAN-2003-0907:
帮助和支持中心存在远程代码执行漏洞,因为它处理 HCP URL 验证的方式。 如果用户访问恶意网站或查看了恶意电子邮件,攻击者可能会利用此漏洞,该 URL 可能会允许远程代码执行。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
帮助和支持中心漏洞的缓解因素 - CAN-2003-0907:
在基于 Web 的攻击方案中,攻击者必须托管包含用于利用此漏洞的网页的网站。 攻击者无法强制用户访问恶意网站。 相反,攻击者必须说服他们访问该网站,通常是通过让他们单击一个链接,将他们带到攻击者的网站。
默认情况下,Outlook Express 6、Outlook 2002 和 Outlook 2003 在受限网站区域中打开 HTML 电子邮件。 此外,如果已安装 Outlook 电子邮件安全更新,Outlook 98 和 Outlook 2000 在受限站点区域中打开 HTML 电子邮件。 受限站点区域有助于减少可能尝试利用此漏洞的攻击。
如果满足以下所有条件,HTML 电子邮件向量的攻击风险可能会显著减少:
- 应用 Microsoft 安全公告 MS03-040 或更高版本 Internet Explorer 累积安全更新中包含的更新。
- 使用 Internet Explorer 6 或更高版本。
- 使用 Microsoft Outlook 电子邮件安全更新、使用 Microsoft Outlook Express 6 或更高版本,或在默认配置中使用 Microsoft Outlook 2000 Service Pack 2 或更高版本。
成功利用此漏洞的攻击者可能会获得与用户相同的权限。 其帐户配置为在系统上拥有较少权限的用户的风险将低于使用管理权限的用户。
Windows NT 4.0 和 Windows 2000 不受此漏洞的影响。
帮助和支持中心漏洞的解决方法 - CAN-2003-0907:
Microsoft 已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,会在下面标识它。
取消注册 HCP 协议。
若要帮助防止攻击,请从注册表中删除以下项来注销 HCP 协议:HKEY_CLAS标准版S_ROOT\HCP。 为此,请按照以下步骤操作:
单击 “启动” ,再单击 “运行” 。
键入 regedit,然后单击“确定”。
注册表编辑器程序将启动。
展开HKEY_CLAS标准版S_ROOT,然后突出显示 HCP 密钥。
右键单击 HCP 密钥,然后单击“ 删除”。
请注意 ,错误地使用注册表编辑器可能会导致可能需要重新安装 Windows 的严重问题。 Microsoft 无法保证可以解决因不正确地使用注册表编辑器而导致的问题。 请慎用注册表编辑器,风险自负。
解决方法的影响: 注销 HCP 协议将破坏所有使用 hcp:// 的本地合法帮助链接。 例如,控制面板中的链接可能不再有效。
如果使用 Outlook 2000 SP1 或更早版本,请安装Outlook 电子邮件安全更新。
默认情况下,Outlook Express 6、Outlook 2002 和 Outlook 2003 在受限站点区域中打开 HTML 电子邮件。 此外,如果已安装 Outlook 电子邮件安全更新,Outlook 98 和 Outlook 2000 在受限站点区域中打开 HTML 电子邮件。
使用这些产品中的任何一个的客户可能会受到电子邮件传播攻击的风险降低,这些攻击会尝试利用此漏洞,除非用户单击电子邮件中的恶意链接。
如果使用 Outlook 2002 或更高版本或 Outlook Express 6 SP1 或更高版本,以纯文本格式阅读电子邮件,以帮助保护自己免受 HTML 电子邮件攻击途径。
已应用 办公室 XP Service Pack 1 或更高版本的 Microsoft Outlook 2002 用户以及应用 Internet Explorer 6 Service Pack 1 的 Microsoft Outlook Express 6 用户可以启用此设置,并仅查看纯文本中所有未数字签名的电子邮件或非加密的电子邮件。
数字签名的电子邮件或加密的电子邮件不受设置的影响,并且可能以原始格式读取。 有关在 Outlook 2002 中启用此设置的详细信息,请参阅 Microsoft 知识库文章 307594。
有关 Outlook Express 6 中的此设置的信息,请参阅 Microsoft 知识库文章 291387。
解决方法的影响: 以纯文本格式查看的电子邮件将不包含图片、专用字体、动画或其他丰富内容。 此外:
- 更改将应用于预览窗格并打开消息。
- 图片成为附件,因此它们不会丢失。
- 由于消息在存储中仍采用 RTF 或 HTML 格式,因此对象模型(自定义代码解决方案)的行为可能出人意料。
帮助和支持中心漏洞常见问题解答 - CAN-2003-0907:
漏洞的范围是什么?
这是远程代码执行漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可以在系统上采取任何操作,包括安装程序、查看数据、更改数据、删除数据或创建具有完全权限的新帐户。
导致漏洞的原因是什么?
帮助和支持中心用于验证数据输入的过程。
什么是帮助和支持中心?
帮助和支持中心(HSC)是 Windows 中的一项功能,可提供有关各种主题的帮助。 例如,HSC 可以教用户有关 Windows 功能、如何下载和安装软件更新、如何确定特定硬件设备是否与 Windows 兼容以及如何从 Microsoft 获取帮助。 用户和程序可以使用 URL 链接,通过 URL 链接中的“hcp://”前缀而不是“https://”,使用指向帮助和支持中心的 URL 链接。
什么是 HCP 协议?
与 HTTP 协议可以使用执行 URL 链接打开 Web 浏览器的方式类似,HCP 协议可以执行 URL 链接以打开“帮助和支持中心”功能。
帮助和支持中心有什么问题?
输入验证中出现错误。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
攻击者如何利用此漏洞?
若要利用此漏洞,攻击者必须托管恶意网站,然后说服用户查看该网站。 攻击者还可以创建一个具有特制链接的 HTML 电子邮件,然后说服用户查看 HTML 电子邮件,然后单击恶意链接。 如果用户单击了此链接,Internet Explorer 窗口可以使用攻击者选择的 HCP URL 打开,从而允许执行任意代码。
哪些系统主要面临漏洞的风险?
Windows XP 和 Windows Server 2003 包含受影响的帮助和支持中心版本。 Windows NT 4.0 和 Windows 2000 不受影响,因为它们不包含帮助和支持中心。
我在 Windows Server 2003 上运行 Internet Explorer。 Windows Server 2003 是否缓解此漏洞?
否。 默认情况下,Windows Server 2003 上的 Internet Explorer 以受限模式运行,称为 Internet Explorer 增强的安全配置。 但是,默认情况下,允许 HCP 协议访问帮助和支持中心。 因此,Windows Server 2003 易受攻击。 有关 Internet Explorer 增强的安全配置的详细信息,请访问以下 网站。
更新的作用是什么?
此更新通过修改传递给帮助和支持中心的数据的验证来消除漏洞。
实用工具管理器漏洞 - CAN-2003-0908:
实用工具管理器启动应用程序的方式存在特权提升漏洞。 登录用户可以强制实用工具管理器使用系统特权启动应用程序,并完全控制系统。
实用工具管理器漏洞的缓解因素 - CAN-2003-0908:
- 攻击者必须具有有效的登录凭据才能利用漏洞。 匿名用户无法利用该漏洞。
- Windows NT 4.0、Windows XP 和 Windows Server 2003 不受此漏洞的影响。 Windows NT 4.0 不实现实用工具管理器。
- Windows 2000 强化指南建议禁用实用工具管理服务。 符合这些准则的环境可能会降低此漏洞的风险。
实用工具管理器漏洞的解决方法 - CAN-2003-0908:
Microsoft 已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,会在下面标识它。
使用组策略在不需要此功能的所有受影响系统上禁用实用工具管理器。
由于实用工具管理器是可能的攻击途径,因此请使用组策略将其禁用。 实用工具管理器进程名称Utilman.exe。 以下指南提供了有关如何要求用户仅使用 组策略运行已批准的应用程序的信息。
请注意 ,还可以查看 Windows 2000 强化指南。 本指南包含有关如何禁用实用工具管理器的信息。
解决方法的影响:
实用工具管理器可以轻松访问操作系统的许多辅助功能。 在删除限制之前,此访问权限将不可用。 若要查找有关如何手动启动许多辅助功能的信息,请访问此 网站。
实用工具管理器漏洞常见问题解答 - CAN-2003-0908:
漏洞的范围是什么?
这是 特权提升 漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
导致漏洞的原因是什么?
实用工具管理器用于启动应用程序的过程。 实用工具管理器可以启动具有系统特权的应用程序。
什么是实用工具管理器?
实用工具管理器是一种辅助功能实用工具,允许用户检查辅助功能程序(如 Microsoft 放大镜、讲述人或屏幕键盘)的状态,并启动或停止它们。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
谁可以利用漏洞?
攻击者必须能够登录到系统,然后在启动实用工具管理器后,运行一个程序,向实用工具管理器发送特制消息以尝试利用漏洞。
攻击者如何利用此漏洞?
若要利用此漏洞,攻击者首先必须启动 Windows 2000 上的实用工具管理器,然后运行一个专门设计的应用程序,以利用该漏洞。 在 Window 2000 的默认配置中,已安装实用工具管理器,但未运行。 此漏洞可能使攻击者能够完全控制 Windows 2000 系统。
哪些系统主要面临漏洞的风险?
仅 Windows 2000 受此漏洞影响。 基于 Windows 2000 的工作站和终端服务器主要面临风险。 仅当没有足够管理凭据的用户能够登录到服务器和运行程序时,服务器才面临风险。 但是,最佳做法强烈建议不要允许这样做。
我使用的是 Windows 2000,但我未使用实用工具管理器或任何辅助功能。 我仍然很脆弱吗?
是的。 默认情况下,实用工具管理器已安装并启用。 但是,实用工具管理器默认未运行。
是否可以通过 Internet 利用漏洞?
否。 攻击者必须能够登录到针对攻击的特定系统。 攻击者无法使用此漏洞远程加载和运行程序。
更新的作用是什么?
此更新通过修改实用工具管理器启动应用程序的方式来消除漏洞。
Windows 管理漏洞 - CAN-2003-0909
特权提升漏洞以 Windows XP 允许创建任务的方式存在。 在特殊情况下,非特权用户可以创建一个可以使用系统权限执行的任务,从而完全控制系统。
Windows 管理漏洞的缓解因素 - CAN-2003-0909:
- 攻击者必须具有有效的登录凭据才能利用漏洞。 匿名用户无法利用该漏洞。
- Windows NT 4.0、Windows 2000 和 Windows Server 2003 不受此漏洞的影响。
Windows 管理漏洞的解决方法 - CAN-2003-0909:
Microsoft 已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,会在下面标识它。
删除受影响的 Windows 管理接口提供程序。
具有本地管理权限的管理员可以通过将以下脚本插入具有“.vbs”文件扩展名的文本文件中,然后运行它来删除受影响的 Windows 管理界面(WMI)提供程序。
删除受影响的 WMI 提供程序:
set osvc = getobject("winmgmts:root\cimv2")set otrigger = osvc.get("__win32provider='cmdtriggerconsumer'")otrigger.delete_
更新的安装会自动重新注册上面引用的受影响 WMI 提供程序。 在应用更新后,无需采取任何其他步骤将系统还原到典型功能。
解决方法的影响: 创建为基于事件的触发器的任务在未注册此提供程序时不起作用。 有关基于事件的触发器的详细信息,请访问以下 网站。
请注意 ,在极少数情况下,Windows XP 可以重新注册此 WMI 提供程序。 例如,如果 Windows XP 检测到 WMI 存储库已损坏,则可能会尝试重新注册受影响的 WMI 提供程序。
Windows 管理漏洞常见问题解答 - CAN-2003-0909:
漏洞的范围是什么?
这是 特权提升 漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
导致漏洞的原因是什么?
在特殊情况下,Microsoft Windows XP 的非特权用户可以创建可以使用系统权限执行的任务。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
攻击者如何利用此漏洞?
若要利用漏洞,攻击者必须能够登录到系统并创建任务。 由于攻击者必须具有有效的登录凭据才能利用漏洞,因此远程系统不会面临风险。
哪些系统主要面临漏洞的风险?
仅 Windows XP 受此漏洞影响。
更新的作用是什么?
该更新通过阻止用户以提升的权限级别创建任务来消除漏洞。
此更新是否包含任何其他行为更改?
是的。 此更新还包括多项功能更改,如下所述:
- 在此更新之前,用户有时可以使用 Eventtriggers.exe 命令行工具创建基于事件的触发器,而无需提供用户名和密码。 安装此更新后,用户可能需要提供有效的用户名和密码,才能使用Eventttrigers.exe创建基于事件的触发器。 有关Eventtriggers.exe命令行选项的详细信息,请访问以下 网站。
- 以前,管理员可以使用任务计划程序服务停止或禁用基于事件的触发器。 现在,任务计划程序服务必须正在运行。 有关任务计划程序的详细信息,请访问以下 网站。
- 更新中还建立了 1,000 个触发器的新限制。 安装更新后,超过此限制的现有基于事件的触发器将继续正常运行。 但是,无法创建其他基于事件的触发器。
- 对安装更新后创建的基于事件的触发器加强了权限。
本地描述符表漏洞 - CAN-2003-0910
权限提升漏洞存在于用于在本地描述符表(LDT)中创建条目的编程接口中。 这些条目包含有关内存段的信息。 在本地登录的攻击者可能会创建恶意条目,从而获取对受保护内存的访问权限,从而可以完全控制系统。
缓解本地描述符表漏洞的因素 - CAN-2003-0910:
- 攻击者必须具有有效的登录凭据,并且能够在本地登录以利用此漏洞。 无法远程利用它。
- Windows XP 和 Windows Server 2003 不受此漏洞的影响。
本地描述符表漏洞的解决方法 - CAN-2003-0910:
无。
本地描述符表漏洞常见问题解答 - CAN-2003-0910:
漏洞的范围是什么?
这是 特权提升 漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
导致漏洞的原因是什么?
用于在 LDT 中创建条目的编程接口。 这些条目包含有关内存段的信息。 攻击者可能会创建恶意条目来访问受保护的内核内存。
什么是本地描述符表?
本地描述符表 (LDT) 包含名为描述符的条目。 这些描述符包含定义特定内存段的信息。
在 LDT 中创建描述符条目的方式有什么问题?
编程接口不应允许程序在 LDT 中创建指向受保护内存区域的描述符条目。
攻击者可能使用漏洞执行哪些操作?
成功利用漏洞的攻击者可以完全控制受影响的系统。 攻击者可以在系统上采取任何操作,包括安装程序、查看数据、更改数据、删除数据或创建具有完全权限的新帐户。
谁可以利用漏洞?
攻击者必须能够在本地登录到系统,并运行程序来利用此漏洞。
攻击者如何利用此漏洞?
若要利用此漏洞,攻击者首先必须登录到系统。 然后,攻击者可以运行一个特别设计的程序,以利用漏洞,并可能完全控制受影响的系统。
哪些系统主要面临漏洞的风险?
工作站和终端服务器主要面临风险。 仅当没有足够管理凭据的用户能够登录和运行程序时,服务器才会面临风险。 但是,最佳做法强烈建议不要允许这样做。
是否可以通过 Internet 利用漏洞?
否。 攻击者必须能够登录到针对攻击的特定系统。 攻击者无法使用此漏洞远程加载和运行程序。
更新的作用是什么?
更新通过修改在 LDT 中创建描述符条目的方式来删除漏洞。
H.323 漏洞 - CAN-2004-0117
Microsoft H.323 协议实现处理格式不正确的请求的方式存在远程代码执行漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
H.323 漏洞的缓解因素 - CAN-2004-0117:
- 在最常见的方案中,NetMeeting(使用 H.323)必须运行才能变得易受攻击。
- 在最常见的方案中,使用 Internet 连接ion 防火墙(ICF)且不运行任何基于 H.323 的应用程序的系统并不易受攻击。
- 除非管理员手动安装了 NetMeeting 的独立版本,否则 Windows NT 4.0 不受此漏洞的影响。
H.323 漏洞的解决方法 - CAN-2004-0117:
Microsoft 已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,会在下面标识它。
阻止防火墙上的入站和出站端口 TCP 1720 和 TCP 1503。
防火墙最佳做法和标准默认防火墙配置可以帮助保护网络免受源自企业外围的攻击。 最佳做法建议连接到 Internet 的系统公开的端口数量最少。 Microsoft 建议阻止来自 Internet 的所有未经请求的入站通信,以帮助防止可能使用其他端口的攻击。
解决方法的影响:
如果入站和出站 TCP 端口 1503 和 1720 被阻止,用户将无法连接到 Internet 定位器服务 (ILS) 或其他 NetMeeting 客户端。
H.323 漏洞常见问题解答 - CAN-2004-0117:
漏洞的范围是什么?
这是 缓冲区溢出 漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
导致漏洞的原因是什么?
Microsoft H.323 实现中的未检查缓冲区。
什么是 H.323?
H.323 是一项ITU标准,它指定如何通过网络进行多媒体通信的电脑、设备和服务,这些网络不提供有保证的服务级别,例如 Internet。 H.323 终端和设备可以携带实时视频、语音、数据或这些元素的任意组合。 使用 H.323 进行音频和视频的产品允许用户通过 Internet 与其他人进行连接和沟通,就像使用不同电话制作和电话型号的用户可以使用电话进行通信一样。
哪些受影响的应用程序使用 H.323 协议?
H.323 协议在多个 Microsoft 应用程序和操作系统组件中实现。 此问题可能会影响运行以下一个或多个服务或应用程序的系统:
- 基于电话应用程序编程接口(TAPI)的应用程序
- NetMeeting
- Internet 连接ion 防火墙 (ICF)
- Internet 连接共享
- Microsoft 路由和远程访问服务
什么是 TAPI?
Windows 电话应用程序编程接口(TAPI)是 Windows 开放系统体系结构的一部分。 通过使用 TAPI,开发人员可以创建电话应用程序。 TAPI 是一个开放的行业标准,由全球电话和计算界的重要和持续投入定义。 由于 TAPI 与硬件无关,兼容的应用程序可以在各种电脑和电话硬件上运行,并且可以支持各种网络服务。 TAPI 实现 H.323 协议。 使用 TAPI 的应用程序可能容易受到本公告中所述的问题。
是否默认在任何受影响的系统上安装任何基于 TAPI 的 H.323 应用程序?
Microsoft 电话 Dialer 是默认在 Windows 2000 和 Windows XP 上安装的基于 H.323 TAPI 的应用程序。 第三方应用程序可以在 TAPI 中启用和使用 H.323 功能。
请注意,Windows Server 2003 中不包含Microsoft 电话 Dialer。
什么是 NetMeeting?
NetMeeting 为 Windows 的所有用户提供完整的 Internet 和企业会议解决方案,其中包含多点数据会议、文本聊天、白板和文件传输,以及点到点音频和视频。 NetMeeting 实现 H.323 协议,默认情况下安装在所有受影响的系统上,但默认情况下未运行。
如果我正在运行 NetMeeting,但我未运行 Internet 连接ion Sharing、ICF 或路由和远程访问服务。 哪种情况会受到影响?
是的。 运行 NetMeeting 时,容易出现此问题。
如果我正在运行 NetMeeting,但我未连接到 ILS 服务器或在对等 NetMeeting 会话中,我是否易受攻击?
是,除非系统上阻止 TCP 端口 1720 和 1503。
如果我从未安装过 NetMeeting 的独立版本,我是否容易受到攻击?
NetMeeting 包含在 Windows 2000、Windows XP 和 Windows Server 2003 中。 此更新解决了这些操作系统中包含的 NetMeeting 版本。 NetMeeting 还可用作其他操作系统的独立下载,并作为其他应用程序的一部分,也可能容易受到此问题的侵害。 如果已安装 NetMeeting 的独立版本,请安装可解决此漏洞的更新版本。 若要下载更新的版本,请访问以下 网站。 解决此漏洞的更新版本为版本 3.01(4.4.3399)。
Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 是否受到此漏洞的影响?
否。 尽管这些操作系统可能包含 NetMeeting,但漏洞在这些操作系统上并不重要。 作为解决此漏洞的方法,可以从以下 网站下载并安装适用于这些操作系统的独立 NetMeeting 版本。 有关严重性分级的详细信息,请访问以下 网站。
什么是 Internet 连接ion 防火墙?
Internet 连接ion 防火墙(ICF)为运行 Windows XP 或 Windows Server 2003 的系统提供基本的入侵防护功能。 它专为直接连接到公用网络或家庭网络(与 Internet 连接ion Sharing 一起使用时属于家庭网络的系统)而设计。
如果我仅在 Windows XP 或 Windows Server 2003 上运行 Internet 连接ion 防火墙,我是否容易受到攻击?
否,不自动。 但是,如果使用 NetMeeting,即使 ICF 正在运行,也可能容易受到此问题的侵害。 NetMeeting 在 ICF 中打开可能会公开此漏洞的端口。
手动打开 TCP 端口 1720 和 1503 也可能公开此漏洞。 第三方应用程序还可能导致 ICF 在响应 H.323 通信时打开端口。
什么是 Internet 连接共享?
通过使用 Internet 连接共享用户可以将一个系统连接到 Internet,并与家庭或小型办公室网络上的多个其他系统共享 Internet 服务。 Windows XP 中的网络设置向导会自动提供与网络中的所有系统共享一个 Internet 连接所需的所有网络设置。 每个系统都可以使用 Internet Explorer 和 Outlook Express 等程序,就像系统直接连接到 Internet 一样。
Internet 连接ion Sharing 是 Windows 2000、Windows XP 和 Windows Server 2003 的一项功能,但默认情况下未在任何受影响的系统上启用。
如果我启用了 Internet 连接ion 共享,但我未启用 Internet 连接ion 防火墙,我是否容易受到攻击?
是的,Internet 连接ion Sharing 允许允许系统易受此问题影响的端口。
如果 ICF 和 Internet 连接ion 共享正在运行,则除非用户也在使用 NetMeeting,或者已手动打开端口 1503 或端口 1720,否则无法发生此攻击。
什么是 Microsoft 路由和远程访问服务?
Microsoft 路由和远程访问服务使运行 Windows 2000 Server 或 Windows Server 2003 的系统能够充当网络路由器。 远程访问允许具有远程系统的用户创建与组织网络或 Internet 的逻辑连接。 Microsoft 路由和远程访问服务支持路由到网络或从网络路由的 H.323 请求。
如果我在 Windows 2000 上运行 Microsoft 路由和远程访问服务,我是否容易受到攻击?
是的。 默认情况下,Windows 2000 使用具有网络地址转换(NAT)功能的 Microsoft 路由和远程访问服务,这会公开漏洞。 但是,管理员可以使用 netsh 命令禁用 H.323 功能。 Microsoft 知识库文章 838834中概述了详细步骤。
请注意 ,如果系统配置为在没有 NAT 的情况下运行另一个 Microsoft 路由和远程访问服务(例如,虚拟专用网络、OSPF 或路由信息协议),则不会受到此漏洞的影响。
如果我在 Windows Server 2003 上运行 Microsoft 路由和远程访问服务,我是否容易受到攻击?
否。 默认情况下,Windows Server 2003 路由和远程访问服务不会启用 H.323 功能。 但是,管理员可以启用 H.323 功能,然后将系统公开给此漏洞。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
谁可以利用漏洞?
任何匿名用户都可以向上述任何受影响的系统发送专门制作的 H.323 请求。
攻击者如何利用此漏洞?
攻击者可以通过查找运行 NetMeeting 的用户、基于 H.323 的 TAPI 程序或两者来尝试利用漏洞。
攻击者还可以通过在启用了 Internet 连接ion Sharing 的系统上远程执行代码,通过 Internet 连接ion Sharing 来尝试利用漏洞。 如果 ICF 和 Internet 连接ion 共享正在运行,则除非用户也在使用 NetMeeting,否则不可能进行此攻击。
哪些系统主要面临漏洞的风险?
运行 NetMeeting 或运行基于 H.323 的程序的系统。
更新的作用是什么?
更新修改受影响系统处理专门制作的 H.323 请求的方式。
虚拟 DOS 计算机漏洞 - CAN-2004-0118:
处理虚拟 DOS 计算机 (VDM) 子系统的操作系统组件中存在特权提升漏洞。 此漏洞可能允许登录用户完全控制系统。
虚拟 DOS 计算机漏洞的缓解因素 - CAN-2004-0118:
- 攻击者必须具有有效的登录凭据,并且能够在本地登录以利用此漏洞。 无法远程利用它。
- Windows XP 和 Windows Server 2003 不受此漏洞的影响。
虚拟 DOS 计算机漏洞的解决方法 - CAN-2004-0118:
无。
虚拟 DOS 计算机漏洞常见问题解答 - CAN-2004-0118:
漏洞的范围是什么?
这是 特权评估 漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。 若要利用漏洞,攻击者必须能够在本地登录到系统并运行程序。
导致漏洞的原因是什么?
处理 VDM 子系统的操作系统组件可用于访问受保护的内核内存。 在某些情况下,某些特权操作系统功能可能无法验证系统结构,并且可能允许攻击者使用系统特权执行恶意代码。
什么是虚拟 DOS 计算机子系统?
虚拟 DOS 计算机(VDM)是在基于 Windows NT 的操作系统中模拟 MS-DOS 和基于 DOS 的 Windows 的环境。 每当用户启动基于 Windows NT 的操作系统上的 MS-DOS 应用程序时,就会创建 VDM。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
谁可以利用漏洞?
若要利用漏洞,攻击者必须能够在本地登录到系统并运行程序。
攻击者如何利用此漏洞?
若要利用此漏洞,攻击者首先必须登录到系统。 然后,攻击者可以运行一个专门设计的应用程序,利用该漏洞,从而完全控制受影响的系统。
哪些系统主要面临漏洞的风险?
工作站和终端服务器主要面临风险。 仅当没有足够管理凭据的用户能够登录到服务器和运行程序时,服务器才面临风险。 但是,最佳做法强烈建议不要允许这样做。
是否可以通过 Internet 利用漏洞?
否。 攻击者必须能够登录到针对攻击的特定系统。 攻击者无法使用此漏洞远程加载和运行程序。
更新的作用是什么?
此更新修改在引用分配给 VDM 的内存位置时 Windows 验证数据的方式。
协商 SSP 漏洞 - CAN-2004-0119
协商安全软件提供程序(SSP)接口中存在缓冲区溢出漏洞,该接口允许远程代码执行。 之所以存在此漏洞,是因为 Negotiate SSP 接口验证身份验证协议选择期间使用的值的方式。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
协商 SSP 漏洞的缓解因素 - CAN-2004-0119:
- 在最常见的方案中,此漏洞是 拒绝服务 漏洞。
- 默认情况下,Internet Information Services(IIS)中也启用了协商 SSP 接口。 但是,默认情况下,仅 Windows 2000(IIS 5.0)和 Windows Server 2003 Web Server 版本(IIS 6.0)安装 Internet Information Services (IIS)。
- Windows NT 4.0 不受此漏洞的影响。
协商 SSP 漏洞的解决方法 - CAN-2004-0119:
Microsoft 已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,会在下面标识它。
- Internet Information Services 攻击途径的解决方法
禁用集成 Windows 身份验证
管理员管理员可以通过禁用 Internet Information Services 帮助降低攻击风险集成 Windows 身份验证。 以下 网站提供了有关如何启用或禁用此选项的信息。
解决方法的影响: 任何需要 Windows NT 质询/响应身份验证(NTLM)或 Kerberos 身份验证的基于 IIS 的应用程序将不再正常运行。
禁用协商 SSP
管理员istrators 可以按照 Microsoft 知识库文章215383中的说明禁用 Negotiate SSP(使 NTLM 保持启用),如下所示:
若要禁用 Negotiate(因此阻止 Kerberos 身份验证),请使用以下命令。 请注意,“NTLM”必须为大写,以避免任何负面影响):
cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”
解决方法的影响: 任何需要 Kerberos 身份验证的基于 IIS 的应用程序将不再正常运行。
协商 SSP 漏洞常见问题解答 - CAN-2004-0119:
漏洞的范围是什么?
这是 缓冲区溢出 漏洞。 但是,它很可能是拒绝服务漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
导致漏洞的原因是什么?
协商 SSP 接口中的未检查缓冲区。
什么是协商安全支持提供的接口?
由于 Windows 支持多种不同类型的身份验证,因此必须协商客户端连接到服务器时使用的身份验证方法。 Negotiate SSP 接口是提供此功能的操作系统组件。 它基于 RFC 2478 中定义的简单和受保护的 GSS-API 协商机制(SPNEGO)。 有关Windows 身份验证方法的详细信息,请访问以下网站。
为什么 Internet Information Services 受到影响?
默认情况下,在 Internet 信息服务(IIS)中也启用协商 SSP 接口,以便 IIS 可以使用 NTLM 或 Kerberos 等身份验证协议提供对资源的安全访问。 有关 IIS 支持的身份验证方法的详细信息,请访问以下 网站。
攻击者可能使用漏洞执行哪些操作?
尽管很可能只有拒绝服务会导致,但成功利用此漏洞的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。 如果攻击者导致受影响的系统无响应,管理员可以通过重启受影响的系统来恢复正常功能。 但是,在应用更新之前,系统可能仍然容易受到新的拒绝服务攻击。
谁可以利用漏洞?
任何向受影响的系统传递特制消息的匿名用户都可能会尝试利用此漏洞。 由于此功能默认在所有受影响的系统上启用,因此任何与受影响系统建立连接的用户都可能会尝试利用此漏洞。
攻击者如何利用此漏洞?
攻击者可以通过创建特制的网络消息并将消息发送到受影响的系统来利用此漏洞。
攻击者还可以通过另一个向量访问受影响的组件。 例如,攻击者可以通过交互方式或使用另一个将参数传递给易受攻击的组件(本地或远程)的程序登录到系统。
哪些系统主要面临漏洞的风险?
默认情况下,所有受影响的系统都容易受到此问题的影响。 此外,默认情况下,运行 Internet Information Services 5.0、Internet Information Services 5.1 和 Internet Information Services 6.0 的系统也很容易通过任何侦听端口来解决此问题。
更新的作用是什么?
更新通过修改协商 SSP 接口在将消息传递给分配的缓冲区之前验证消息长度的方式来消除漏洞。
SSL 漏洞 - CAN-2004-0120:
Microsoft 安全套接字层 (SSL) 库中存在拒绝服务漏洞。 漏洞源于 Microsoft SSL 库处理格式不正确的 SSL 消息的方式。 此漏洞可能导致受影响的系统停止接受 Windows 2000 和 Windows XP 上的 SSL 连接。 在 Windows Server 2003 上,该漏洞可能导致受影响的系统自动重启。
SSL 漏洞的缓解因素 - CAN-2004-0120:
- 只有启用了 SSL 的系统受到影响,通常只有服务器系统。 默认情况下,不会在任何受影响的系统上启用 SSL 支持。 但是,SSL 通常用于 Web 服务器上,以支持电子商务计划、在线银行和其他需要安全通信的程序。
- 防火墙最佳做法和标准默认防火墙配置可以帮助保护网络免受源自企业外围的攻击。 最佳做法建议连接到 Internet 的系统公开的端口数量最少。
- Windows NT 4.0 不受此漏洞的影响。
SSL 漏洞的解决方法 - CAN-2004-0120:
Microsoft 已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,会在下面标识它。
阻止防火墙上的端口 443 和 636
端口 443 用于接收 SSL 流量。 端口 636 用于 LDAP SSL 连接(LDAPS)。 在防火墙中阻止它们有助于防止防火墙后面的系统尝试利用此漏洞。 可能会发现其他端口可用于利用此漏洞。 但是,此处列出的端口是最常见的攻击途径。 Microsoft 建议阻止来自 Internet 的所有未经请求的入站通信,以帮助防止可能使用其他端口的攻击。
解决方法的影响: 如果阻止端口 443 或 636,受影响的系统将无法再使用 SSL 或 LDAPS 接受外部连接。
SSL 漏洞常见问题解答 - CAN-2004-0120:
漏洞的范围是什么?
Microsoft 安全套接字层 (SSL) 库中的拒绝服务漏洞会影响它如何处理特制的 SSL 消息。 此漏洞可能导致受影响的系统停止在 Windows 2000 和 Windows XP 中接受 SSL 连接。 Windows Server 2003 中的漏洞可能导致受影响的系统自动重启。
请注意,拒绝服务漏洞不允许攻击者执行代码或提升其特权,但可能导致受影响的系统停止接受请求。
导致漏洞的原因是什么?
SSL 库用于检查消息输入的过程。
什么是 Microsoft 安全套接字层库?
Microsoft 安全套接字层库包含对许多安全通信协议的支持。 其中包括传输层安全性 1.0(TLS 1.0)、安全套接字第 3.0 层(SSL 3.0)、旧安全套接字第 2.0 层(SSL 2.0)和专用通信技术 1.0(PCT 1.0)协议。
这些协议提供服务器和客户端系统之间的加密连接。 当用户跨公用网络(如 Internet)进行连接时,SSL 可以帮助保护信息。 SSL 支持需要 SSL 证书,该证书必须安装在服务器上。 有关 SSL 的详细信息,请参阅 Microsoft 知识库文章 245152。
攻击者可能使用漏洞执行哪些操作?
在 Windows 2000 和 Windows XP 中,成功利用此漏洞的攻击者可能导致受影响的系统停止接受 SSL 连接。 在 Windows Server 2003 中,攻击者可能导致受影响的系统自动重启。 在此期间,受影响的系统将无法响应身份验证请求。 重启后,受影响的系统将还原到典型功能。 但是,除非应用更新,否则它仍然容易受到新的拒绝服务攻击。
如果攻击者利用此漏洞,可能会记录系统错误事件。 可以在系统事件日志中记录事件 ID 5000,其符号名称值为“SPMEVENT_PACKAGE_FAULT”,并具有以下说明:
“安全包名称生成了异常”,其中 NAME 包含“Schannel”或“Microsoft 统一安全协议提供程序”的值。
谁可以利用漏洞?
任何可将特制 SSL 消息传递到受影响系统的匿名用户都可能会尝试利用此漏洞。
攻击者如何利用此漏洞?
攻击者可以通过创建一个程序来通过启用 SSL 的服务与易受攻击的服务器通信,以发送特定类型的特制 TCP 消息,从而利用此漏洞。 收到此类消息可能会导致易受攻击的系统以可能导致拒绝服务的方式失败。
攻击者还可以通过另一个向量访问受影响的组件。 例如,攻击者可以通过交互方式或使用另一个将参数传递给易受攻击的组件(本地或远程)的程序登录到系统。
哪些系统主要面临漏洞的风险?
启用 SSL 的所有系统都易受攻击。 尽管 SSL 通常通过使用 HTTPS 和端口 443 与 Internet Information Services 关联,但任何在受影响的平台上实现 SSL 的服务都可能容易受到攻击。 这包括 Internet Information Services 4.0、Internet Information Services 5.0、Internet Information Services 5.1、Exchange Server 5.5、Exchange Server 2000、Exchange Server 2003、Analysis Services 2000(包含在 SQL Server 2000 中)以及任何使用 SSL 的第三方程序。
安装在 Active Directory 域中且安装了企业根证书颁发机构的 Windows 2000 域控制器受此漏洞的影响,因为它们会自动侦听安全 SSL 连接。
更新的作用是什么?
更新通过修改专门制作的 SSL 消息的处理来消除漏洞。
ASN.1“双重释放”漏洞 - CAN-2004-0123
Microsoft ASN.1 库中存在远程代码执行漏洞。 该漏洞是由 Microsoft ASN.1 库中可能的“无双”条件引起的,可能导致受影响系统上的内存损坏。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 但是,在最有可能的攻击方案中,此问题是 拒绝服务 漏洞。
ASN.1“双重释放”漏洞的缓解因素 - CAN-2004-0123:
- 由于每个受影响的系统上内存结构的独特布局,在大规模上利用此漏洞可能会很困难。
ASN.1“双重释放”漏洞的解决方法 - CAN-2004-0123:
无。
ASN.1“双重释放”漏洞常见问题解答 - CAN-2004-0123:
漏洞的范围是什么?
虽然可能存在远程代码执行漏洞,但很可能是 拒绝服务 漏洞。 但是,成功利用此漏洞允许代码执行的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
导致漏洞的原因是什么?
可能存在潜在的“双释放”条件,可能导致 Microsoft ASN.1 库中的内存损坏。
什么是“双免费”条件?
攻击者可能会在处理特制消息时导致受影响的系统尝试释放或“释放”内存,这些内存可能已被预留多次使用。 释放已释放的内存可能会导致内存损坏。 攻击者可以将任意代码添加到发生损坏时执行的内存。 然后,可以在系统级别的特权下执行此代码。
通常,此漏洞会导致拒绝服务发生。 但是,在有限的基础上,可能会执行代码。 由于每个受影响的系统上内存的独特布局,在大规模上利用此漏洞可能会很困难。
什么是 ASN.1?
抽象语法表示法 1 (ASN.1) 是用于定义标准的语言。 它由技术行业的许多应用程序和设备用来允许跨各种平台进行数据交换。 ASN.1 与任何特定的标准、编码方法、编程语言或硬件平台没有直接关系。 有关 ASN.1 的详细信息,请参阅 Microsoft 知识库文章 252648。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞允许代码执行的攻击者可以完全控制受影响的系统,包括安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户。
在最有可能的情况下,攻击者可能会导致 拒绝服务 条件。 管理员可以重启受影响的系统以还原典型功能。
攻击者如何利用此漏洞?
由于 ASN.1 是许多应用程序和设备的标准,因此有许多潜在的攻击途径。 若要成功利用此漏洞,攻击者必须强制系统解码特制 ASN.1 数据。 例如,通过使用基于 ASN.1 的身份验证协议,攻击者可以构造一个专门制作的身份验证请求,该请求可能会公开此漏洞。
哪些系统主要面临此漏洞的风险?
服务器系统的风险高于客户端系统,因为它们更有可能有一个运行该服务器进程来解码 ASN.1 数据。
Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 是否受到此漏洞的影响?
否。 尽管 Windows Millennium Edition 确实包含受影响的组件,但漏洞并不重要。 有关严重性分级的详细信息,请访问以下 网站。
更新的作用是什么?
更新通过修改 ASN.1 库专门制作的数据的处理来消除漏洞。
此漏洞与 MS04-007 更正的漏洞有何关联?
这两个漏洞都在 ASN.1 组件中。 但是,此更新更正了未作为 MS04-007 一部分解决的新报告的漏洞。 MS04-007 完全防范该公告中讨论的漏洞,但此更新包括 MS04-007 中提供的所有更新并替换它。 如果安装此更新,则无需安装 MS04-007。
安全更新信息
安装平台和先决条件:
有关平台的特定安全更新的信息,请单击相应的链接:
Windows Server 2003(所有版本)
此安全更新的 先决条件需要 Windows Server 2003 的已发布版本。
包含在将来的 Service Pack 中: 此问题的更新将包含在 Windows Server 2003 Service Pack 1 中。
安装信息
此安全更新支持以下设置开关:
/help 显示命令行选项
设置模式
/quiet 使用静默 模式(无用户交互或显示)
/被动 无人参与模式(仅进度栏)
/uninstalls Uninstalls the package
重启选项
/norestart 安装完成后不要重启
/forcerestart 安装后重启
特殊选项
/l 列出已安装的 Windows 修补程序或更新包
/o 覆盖 OEM 文件而不提示
/n 不备份卸载所需的文件
/f 强制计算机关闭时关闭其他程序
请注意 ,可以将这些开关合并到一个命令中。 为了向后兼容,安全更新还支持安装实用工具的以前版本使用的安装开关。 有关支持的安装开关的详细信息,请查看 Microsoft 知识库文章 262841。
部署信息
若要在不进行任何用户干预的情况下安装安全更新,请在 Windows Server 2003 的命令提示符处使用以下命令:
Windowsserver2003-kb835732-x86-enu /passive /quiet
若要在不强制系统重启的情况下安装安全更新,请在 Windows Server 2003 的命令提示符处使用以下命令:
Windowsserver2003-kb835732-x86-enu /norestart
有关如何使用软件更新服务部署此安全更新的信息,请访问 软件更新服务网站。
重启要求
应用此安全更新后,必须重启系统。
删除信息
若要删除此更新,请使用控制面板中的“添加或删除程序”工具。
系统管理员还可以使用Spuninst.exe实用工具删除此安全更新。 Spuninst.exe实用工具位于 %Windir%\$NTUninstall知识库(KB)835732$\Spuninst 文件夹中。 Spuninst.exe实用工具支持以下设置开关:
/?:显示安装开关的列表。
/u:使用无人参与模式。
/f:强制其他程序在计算机关闭时退出。
/z:安装完成后不要重启。
/q:使用静默模式(无用户交互)。
文件信息
此更新的英文版本包含下表中列出的文件属性(或更高版本)。 这些文件的日期和时间以协调世界时(UTC)列出。 查看文件信息时,会将其转换为本地时间。 若要查找 UTC 与本地时间之间的差异,请使用 控制面板 中的“日期和时间”工具中的“时区”选项卡。
Windows Server 2003 企业版、Windows Server 2003 标准版、Windows Server 2003 Web Edition 和 Windows Server 2003 Datacenter Edition:
Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 02:00 5.2.3790.132 364,544 Callcont.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.121 61,440 Eventlog.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 H323.tsp X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 601,600 H323msp.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.125 783,360 Helpctr.exe X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.142 448,512 Ipnathlp.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.134 799,232 Lsasrv.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.139 60,928 Msasn1.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 253,952 Mst120.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 73,728 Nmcom.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.121 565,760 Rtcdll.dll X86 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 153,088 Schannel.dll X86 RTMGDR
16-Mar-2004 02:09 5.2.3790.132 364,544 Callcont.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.121 64,000 Eventlog.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 H323.tsp X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 601,600 H323msp.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.125 783,360 Helpctr.exe X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.142 448,512 Ipnathlp.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.134 801,280 Lsasrv.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.139 60,928 Msasn1.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 253,952 Mst120.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 73,728 Nmcom.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.121 565,760 Rtcdll.dll X86 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 153,088 Schannel.dll X86 RTMQFE
Windows Server 2003 64 位企业版和 Windows Server 2003 64 位 Datacenter Edition:
Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 01:54 5.2.3790.121 160,768 Eventlog.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 816,128 H323.tsp IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMGDR
05-Feb-2004 00:43 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.134 2,034,176 Lsasrv.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.139 160,256 Msasn1.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 479,744 Schannel.dll IA64 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 Wh323.tsp X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 601,600 Wh323msp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 153,088 Wschannel.dll X86 RTMGDR\WOW
16-Mar-2004 02:12 5.2.3790.121 167,424 Eventlog.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 816,128 H323.tsp IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMQFE
05-Feb-2004 00:42 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.134 2,038,272 Lsasrv.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.139 160,256 Msasn1.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 479,744 Schannel.dll IA64 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 Wh323.tsp X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 601,600 Wh323msp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 153,088 Wschannel.dll X86 RTMQFE\WOW
请注意,在 Windows Server 2003 或 Windows XP 64 位版本 2003 上安装此安全更新时,安装程序会检查,以查看系统上更新的文件是否已由 Microsoft 修补程序更新。 如果以前安装了修补程序来更新其中一个文件,安装程序会将 RTMQFE 文件复制到系统。 否则,安装程序会将 RTMGDR 文件复制到系统。 有关详细信息,请参阅 Microsoft 知识库文章 824994。
验证更新安装
若要验证受影响的系统上是否安装了安全更新,你可能能够使用 Microsoft 基线安全分析器(MBSA)工具,这允许管理员扫描本地和远程系统来查找缺少安全更新和常见安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基线安全分析器网站。
还可以通过查看以下注册表项来验证此安全更新已安装的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows Server 2003\SP1\知识库(KB)835732\Filelist
请注意 ,如果管理员或 OEM 将835732安全更新集成到 Windows 安装源文件中,则可能无法正确创建此注册表项。
Windows XP (所有版本)
注意 ,对于 Windows XP 64 位版本 2003,此安全更新与 Windows Server 2003 64 位版安全更新相同。
先决条件 此 安全更新需要发布的 Windows XP 或 Windows XP Service Pack 1 版本(SP1)。 有关详细信息,请参阅 Microsoft 知识库文章 322389。
这些问题的更新将包含在 Windows XP Service Pack 2 中。
安装信息
此安全更新支持以下设置开关:
/help 显示命令行选项
设置模式
/quiet 使用静默 模式(无用户交互或显示)
/被动 无人参与模式(仅进度栏)
/uninstalls Uninstalls the package
重启选项
/norestart 安装完成后不要重启
/forcerestart 安装后重启
特殊选项
/l 列出已安装的 Windows 修补程序或更新包
/o 覆盖 OEM 文件而不提示
/n 不备份卸载所需的文件
/f 强制计算机关闭时关闭其他程序
请注意 ,可以将这些开关合并到一个命令中。 为了向后兼容,安全更新还支持安装实用工具的以前版本使用的安装开关。 有关支持的安装开关的详细信息,请查看 Microsoft 知识库文章 262841。
部署信息
若要在不进行任何用户干预的情况下安装安全更新,请在 Windows XP 的命令提示符处使用以下命令:
Windowsxp-kb835732-x86-enu /passive /quiet
若要在不强制系统重启的情况下安装安全更新,请在 Windows XP 的命令提示符处使用以下命令:
Windowsxp-kb835732-x86-enu /norestart
有关如何使用软件更新服务部署此安全更新的信息,请访问 软件更新服务网站。
重启要求
应用此安全更新后,必须重启系统。
删除信息
若要删除此更新,请使用控制面板中的“添加或删除程序”工具。
系统管理员还可以使用Spuninst.exe实用工具删除此安全更新。 Spuninst.exe实用工具位于 %Windir%\$NTUninstall知识库(KB)835732$\Spuninst 文件夹中。 Spuninst.exe实用工具支持以下设置开关:
/?:显示安装开关的列表。
/u:使用无人参与模式。
/f:强制其他程序在计算机关闭时退出。
/z:安装完成后不要重启。
/q:使用静默模式(无用户交互)。
文件信息
此更新的英文版本包含下表中列出的文件属性(或更高版本)。 这些文件的日期和时间以协调世界时(UTC)列出。 查看文件信息时,会将其转换为本地时间。 若要查找 UTC 与本地时间之间的差异,请使用 控制面板 中的“日期和时间”工具中的“时区”选项卡。
Windows XP Home Edition、Windows XP Professional、Windows XP Home Edition Service Pack 1、Windows XP Professional Service Pack 1、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition:
Date Time Version Size File name Folder
-----------------------------------------------------------------------
27-Mar-2004 01:01 5.1.2600.105 48,640 Browser.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 364,544 Callcont.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.136 40,960 Evtgprov.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.132 241,664 Gdi32.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 253,440 H323.tsp (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 593,408 H323msp.dll (pre-sp1)
05-Feb-2004 22:14 5.1.2600.128 727,040 Helpctr.exe (pre-sp1)
27-Mar-2004 01:01 5.1.2600.137 454,656 Ipnathlp.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 648,192 Lsasrv.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.132 36,864 Mf3216.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.137 51,712 Msasn1.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.128 969,216 Msgina.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 253,952 Mst120.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.122 301,568 Netapi32.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.133 73,728 Nmcom.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.134 550,400 Rtcdll.dll (pre-sp1)
27-Mar-2004 01:01 5.1.2600.136 136,704 Schannel.dll (pre-sp1)
26-Mar-2004 19:43 5.1.2600.1348 364,544 Callcont.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1363 40,960 Evtgprov.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1346 257,536 Gdi32.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 253,440 H323.tsp (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 593,408 H323msp.dll (with sp1)
26-Mar-2004 19:30 5.1.2600.1340 741,376 Helpctr.exe (with sp1)
26-Mar-2004 19:43 5.1.2600.1364 439,808 Ipnathlp.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1361 667,648 Lsasrv.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1331 36,864 Mf3216.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1362 51,712 Msasn1.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1343 971,264 Msgina.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 253,952 Mst120.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1343 306,176 Netapi32.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1348 73,728 Nmcom.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1351 548,352 Rtcdll.dll (with sp1)
26-Mar-2004 19:43 5.1.2600.1347 136,704 Schannel.dll (with sp1)
10-Mar-2004 17:59 5.1.2600.1363 593,408 Xpsp2res.dll (with sp1)
Windows XP 64 位版 Service Pack 1:
Date Time Version Size File name Platform
--------------------------------------------------------------------------
26-Mar-2004 19:40 5.1.2600.1363 134,656 Evtgprov.dll IA64
26-Mar-2004 19:40 5.1.2600.1346 884,736 Gdi32.dll IA64
26-Mar-2004 19:40 5.1.2600.1348 1,035,264 H323.tsp IA64
26-Mar-2004 19:40 5.1.2600.1348 2,230,272 H323msp.dll IA64
05-Feb-2004 21:40 5.1.2600.1340 2,426,368 Helpctr.exe IA64
26-Mar-2004 19:40 5.1.2600.1364 1,782,784 Ipnathlp.dll IA64
26-Mar-2004 19:40 5.1.2600.1361 2,069,504 Lsasrv.dll IA64
26-Mar-2004 19:40 5.1.2600.1331 128,512 Mf3216.dll IA64
26-Mar-2004 19:40 5.1.2600.1362 179,200 Msasn1.dll IA64
26-Mar-2004 19:40 5.1.2600.1343 1,272,320 Msgina.dll IA64
26-Mar-2004 19:40 5.1.2600.1343 903,168 Netapi32.dll IA64
26-Mar-2004 19:40 5.1.2600.1347 508,416 Schannel.dll IA64
26-Mar-2004 19:43 5.1.2600.1346 237,568 Wgdi32.dll X86
26-Mar-2004 19:43 5.1.2600.1348 253,440 Wh323.tsp X86
26-Mar-2004 19:43 5.1.2600.1348 593,408 Wh323msp.dll X86
26-Mar-2004 19:43 5.1.2600.1364 439,808 Wipnathlp.dll X86
26-Mar-2004 19:43 5.1.2600.1331 36,864 Wmf3216.dll X86
26-Mar-2004 19:43 5.1.2600.1362 51,712 Wmsasn1.dll X86
26-Mar-2004 19:43 5.1.2600.1343 971,264 Wmsgina.dll X86
26-Mar-2004 19:43 5.1.2600.1343 306,176 Wnetapi32.dll X86
26-Mar-2004 19:43 5.1.2600.1347 136,704 Wschannel.dll X86
10-Mar-2004 17:59 5.1.2600.1363 593,408 Wxpsp2res.dll X86
10-Mar-2004 17:59 5.1.2600.1363 592,896 Xpsp2res.dll IA64
Windows XP 64 位版本 2003:
Date Time Version Size File name Platform Folder
-----------------------------------------------------------------------------
16-Mar-2004 01:54 5.2.3790.121 160,768 Eventlog.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 816,128 H323.tsp IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMGDR
05-Feb-2004 00:43 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.134 2,034,176 Lsasrv.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.139 160,256 Msasn1.dll IA64 RTMGDR
16-Mar-2004 01:54 5.2.3790.132 479,744 Schannel.dll IA64 RTMGDR
16-Mar-2004 02:00 5.2.3790.132 256,000 Wh323.tsp X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 601,600 Wh323msp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMGDR\WOW
16-Mar-2004 02:00 5.2.3790.132 153,088 Wschannel.dll X86 RTMGDR\WOW
16-Mar-2004 02:12 5.2.3790.121 167,424 Eventlog.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 816,128 H323.tsp IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 1,874,432 H323msp.dll IA64 RTMQFE
05-Feb-2004 00:42 5.2.3790.125 2,063,360 Helpctr.exe IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.142 1,421,312 Ipnathlp.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.134 2,038,272 Lsasrv.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.139 160,256 Msasn1.dll IA64 RTMQFE
16-Mar-2004 02:12 5.2.3790.132 479,744 Schannel.dll IA64 RTMQFE
16-Mar-2004 02:09 5.2.3790.132 256,000 Wh323.tsp X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 601,600 Wh323msp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.142 448,512 Wipnathlp.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.139 60,928 Wmsasn1.dll X86 RTMQFE\WOW
16-Mar-2004 02:09 5.2.3790.132 153,088 Wschannel.dll X86 RTMQFE\WOW
请注意 ,此安全更新的 Windows XP 和 Windows XP 64 位版本 2003 版本打包为双模式包,其中包含原始版本的 Windows XP 和 Windows XP Service Pack 1(SP1) 的文件。 有关双模式包的其他信息,请参阅 Microsoft 知识库文章 328848。
安装 Windows XP 64 位版本 2003 安全更新时,安装程序会检查查看以前由 Microsoft 修补程序更新系统上的任何文件。 如果以前安装了修补程序来更新其中一个文件,安装程序会将 RTMQFE 文件复制到系统。 否则,安装程序会将 RTMGDR 文件复制到系统。 有关详细信息,请参阅 Microsoft 知识库文章 824994。
验证更新安装
若要验证受影响的系统上是否安装了安全更新,你可能能够使用 Microsoft 基线安全分析器(MBSA)工具,这允许管理员扫描本地和远程系统来查找缺少安全更新和常见安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基线安全分析器网站。
还可以通过查看以下注册表项来验证此安全更新已安装的文件:
对于 Windows XP Home Edition、Windows XP Professional、Windows XP Home Edition Service Pack 1、Windows XP Professional Service Pack 1、Windows XP 64 位版 Service Pack 1、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows XP\SP2\知识库(KB)835732\Filelist
对于 Windows XP 64 位版本 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows Server 2003\SP1\知识库(KB)835732\Filelist
请注意 ,如果管理员或 OEM 将835732安全更新集成到 Windows 安装源文件中,则可能无法正确创建此注册表项。
Windows 2000 (所有版本)
对于 Windows 2000 的先决条件,此安全更新需要 Service Pack 2(SP2)、Service Pack 3(SP3)或 Service Pack 4(SP4)。
上面列出的软件已经过测试,以确定版本是否受到影响。 其他版本要么不再包含安全更新支持,要么可能不受影响。 若要确定产品和版本的支持生命周期,请访问Microsoft 支持部门生命周期网站。
有关如何获取最新 Service Pack 的详细信息,请参阅 Microsoft 知识库文章 260910。
包含在将来的 Service Pack 中: 此问题的更新将包含在 Windows 2000 Service Pack 5 中。
安装信息
此安全更新支持以下设置开关:
/help 显示命令行选项
设置模式
/quiet 使用静默 模式(无用户交互或显示)
/被动 无人参与模式(仅进度栏)
/uninstalls Uninstalls the package
重启选项
/norestart 安装完成后不要重启
/forcerestart 安装后重启
特殊选项
/l 列出已安装的 Windows 修补程序或更新包
/o 覆盖 OEM 文件而不提示
/n 不备份卸载所需的文件
/f 强制计算机关闭时关闭其他程序
请注意 ,可以将这些开关合并到一个命令中。 为了向后兼容,安全更新还支持安装实用工具的以前版本使用的安装开关。 有关支持的安装开关的详细信息,请查看 Microsoft 知识库文章 262841。
部署信息
若要在不进行任何用户干预的情况下安装安全更新,请在命令提示符处使用以下命令,提示 Windows 2000 Service Pack 2、Windows 2000 Service Pack 3 和 Windows 2000 Service Pack 4:
Windows2000-kb835732-x86-enu /passive /quiet
若要在不强制系统重启的情况下安装安全更新,请在 Windows 2000 Service Pack 2、Windows 2000 Service Pack 3 和 Windows 2000 Service Pack 4 的命令提示符处使用以下命令:
Windows2000-kb835732-x86-enu /norestart
有关如何使用软件更新服务部署此安全更新的信息,请访问 软件更新服务网站。
重启要求
应用此安全更新后,必须重启系统。
删除信息
若要删除此更新,请使用控制面板中的“添加或删除程序”工具。
系统管理员还可以使用Spuninst.exe实用工具删除此安全更新。 Spuninst.exe实用工具位于 %Windir%\$NTUninstall知识库(KB)835732$\Spuninst 文件夹中。 Spuninst.exe实用工具支持以下设置开关:
/?:显示安装开关的列表。
/u:使用无人参与模式。
/f:强制其他程序在计算机关闭时退出。
/z:安装完成后不要重启。
/q:使用静默模式(无用户交互)。
文件信息
此更新的英文版本包含下表中列出的文件属性(或更高版本)。 这些文件的日期和时间以协调世界时(UTC)列出。 查看文件信息时,会将其转换为本地时间。 若要查找 UTC 与本地时间之间的差异,请使用 控制面板 中的“日期和时间”工具中的“时区”选项卡。
注意 安装过程中的日期和时间信息可能会更改。 应使用版本、大小和文件名信息来确定文件的正确性。
Windows 2000 Service Pack 2、Windows 2000 Service Pack 3 和 Windows 2000 Service Pack 4:
Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Mar-2004 02:17 5.0.2195.6876 388,368 Advapi32.dll
24-Mar-2004 02:17 5.0.2195.6824 42,256 Basesrv.dll
24-Mar-2004 02:17 5.0.2195.6866 69,904 Browser.dll
24-Mar-2004 02:17 5.0.2195.6901 394,512 Callcont.dll
21-Sep-2003 00:45 5.0.2195.6824 236,304 Cmd.exe
24-Mar-2004 02:17 5.131.2195.6824 543,504 Crypt32.dll
24-Mar-2004 02:17 5.131.2195.6824 61,200 Cryptnet.dll
24-Mar-2004 02:17 5.0.2195.6868 76,048 Cryptsvc.dll
24-Mar-2004 02:17 5.0.2195.6824 134,928 Dnsapi.dll
24-Mar-2004 02:17 5.0.2195.6876 92,432 Dnsrslvr.dll
24-Mar-2004 02:17 5.0.2195.6883 47,888 Eventlog.dll
24-Mar-2004 02:17 5.0.2195.6898 242,448 Gdi32.dll
24-Mar-2004 02:17 5.0.2195.6901 255,248 H323.tsp
24-Mar-2004 00:46 502 Hfsecper.inf
17-Mar-2004 21:50 502 Hfsecupd.inf
24-Mar-2004 02:17 5.0.2195.6902 442,640 Ipnathlp.dll
24-Mar-2004 02:17 5.0.2195.6890 143,632 Kdcsvc.dll
11-Mar-2004 02:37 5.0.2195.6903 210,192 Kerberos.dll
24-Mar-2004 02:17 5.0.2195.6897 742,160 Kernel32.dll
21-Sep-2003 00:32 5.0.2195.6824 71,888 Ksecdd.sys
11-Mar-2004 02:37 5.0.2195.6902 520,976 Lsasrv.dll
25-Feb-2004 23:59 5.0.2195.6902 33,552 Lsass.exe
24-Mar-2004 02:17 5.0.2195.6898 37,136 Mf3216.dll
10-Feb-2004 19:47 5.0.2195.6897 30,160 Mountmgr.sys
24-Mar-2004 02:17 5.0.2195.6824 54,544 Mpr.dll
24-Mar-2004 02:17 5.0.2195.6905 53,520 Msasn1.dll
24-Mar-2004 02:17 5.0.2195.6895 335,120 Msgina.dll
24-Mar-2004 02:17 5.0.2195.6901 249,616 Mst120.dll
11-Mar-2004 02:37 5.0.2195.6897 123,152 Msv1_0.dll
24-Mar-2004 02:17 5.0.2195.6897 312,592 Netapi32.dll
24-Mar-2004 02:17 5.0.2195.6891 371,472 Netlogon.dll
24-Mar-2004 02:17 5.0.2195.6901 62,224 Nmcom.dll
24-Mar-2004 02:17 5.0.2195.6899 497,936 Ntdll.dll
24-Mar-2004 02:17 5.0.2195.6896 1,028,880 Ntdsa.dll
25-Feb-2004 23:55 5.0.2195.6902 1,699,904 Ntkrnlmp.exe
25-Feb-2004 23:55 5.0.2195.6902 1,699,264 Ntkrnlpa.exe
25-Feb-2004 23:55 5.0.2195.6902 1,720,064 Ntkrpamp.exe
11-Mar-2004 02:37 5.0.2195.6902 1,726,032 Ntoskrnl.exe
24-Mar-2004 02:17 5.0.2195.6824 115,984 Psbase.dll
24-Mar-2004 02:17 5.0.2195.6892 90,264 Rdpwd.sys
24-Mar-2004 02:17 5.0.2195.6897 49,936 Samlib.dll
24-Mar-2004 02:17 5.0.2195.6897 388,368 Samsrv.dll
24-Mar-2004 02:17 5.0.2195.6893 111,376 Scecli.dll
24-Mar-2004 02:17 5.0.2195.6903 253,200 Scesrv.dll
11-Mar-2004 02:37 5.1.2195.6899 143,120 Schannel.dll
19-Jun-2003 20:05 5.0.2195.6707 17,168 Seclogon.dll
24-Mar-2004 02:17 5.0.2195.6894 971,536 Sfcfiles.dll
05-Feb-2004 20:18 5.0.2195.6896 5,869,056 Sp3res.dll
24-Mar-2004 02:17 1.0.0.4 27,920 Umandlg.dll
24-Mar-2004 02:17 5.0.2195.6897 403,216 User32.dll
05-Aug-2003 22:14 5.0.2195.6794 385,808 Userenv.dll
24-Mar-2004 02:17 5.0.2195.6824 50,960 W32time.dll
21-Sep-2003 00:32 5.0.2195.6824 57,104 W32tm.exe
11-Mar-2004 02:37 5.0.2195.6897 1,720,368 Win32k.sys
12-Dec-2003 21:38 5.1.2600.1327 311,296 Winhttp.dll
11-Mar-2004 02:37 5.0.2195.6898 181,520 Winlogon.exe
25-Sep-2003 18:08 5.0.2195.6826 243,984 Winsrv.dll
24-Mar-2004 02:17 5.131.2195.6824 167,184 Wintrust.dll
24-Mar-2004 02:17 5.0.2195.6897 742,160 Kernel32.dll Uniproc
24-Mar-2004 02:17 5.0.2195.6899 497,936 Ntdll.dll Uniproc
11-Mar-2004 02:37 5.0.2195.6897 1,720,368 Win32k.sys Uniproc
25-Sep-2003 18:08 5.0.2195.6826 243,984 Winsrv.dll Uniproc
验证更新安装
若要验证受影响的系统上是否安装了安全更新,你可能能够使用 Microsoft 基线安全分析器(MBSA)工具,这允许管理员扫描本地和远程系统来查找缺少安全更新和常见安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基线安全分析器网站。
还可以通过查看以下注册表项来验证此安全更新已安装的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP5\知识库(KB)835732\Filelist
请注意 ,如果管理员或 OEM 将835732安全更新集成到 Windows 安装源文件中,则可能无法正确创建此注册表项。
Windows NT 4.0 (所有版本)
先决条件: 此安全更新需要 Windows NT 工作站 4.0 Service Pack 6a(SP6a)、Windows NT Server 4.0 Service Pack 6a(SP6a)或 Windows NT Server 4.0 终端服务器版本 Service Pack 6(SP6)。
请注意 ,Windows NT Server 4.0 终端服务器版 Service Pack 6 的安全更新要求 Windows NT Server 4.0 终端服务器版本安全汇总包(SRP)作为先决条件。 若要下载 SRP,请访问以下 网站。 安装此安全公告中提供的安全更新之前,必须先安装 SRP。 如果不使用 Windows NT Server 4.0 终端服务器版本 Service Pack 6,则无需安装 SRP。
上面列出的软件已经过测试,以确定版本是否受到影响。 其他版本要么不再包含安全更新支持,要么可能不受影响。 若要确定产品和版本的支持生命周期,请访问以下Microsoft 支持部门生命周期网站。
有关获取最新 Service Pack 的详细信息,请参阅 Microsoft 知识库文章 152734。
安装信息
此安全更新支持以下设置开关:
/y: 执行删除(仅使用 /m 或 /q )
/f: 强制程序在关闭过程中退出
/n: 不创建卸载文件夹
/z: 更新完成时不要重启
/q:使用无用户界面的静默模式或无人参与模式(此开关是 /m 的超集)
/m: 将无人参与模式与用户界面配合使用
/l: 列出已安装的修补程序
/x: 在不运行安装程序的情况下提取文件
请注意 ,可以将这些开关合并到一个命令中。 有关支持的安装开关的详细信息,请参阅 Microsoft 知识库文章 262841。
部署信息
若要在不进行任何用户干预的情况下安装安全更新,请在 Windows NT 4.0 的命令提示符处使用以下命令:
Windowsnt4server-kb835732-x86-enu /q
对于 Windows NT Server 4.0 终端服务器版本:
Windowsnt4terminalserver-kb835732-x86-enu /q
对于 Windows NT 工作站 4.0:
Windowsnt4workstation-kb835732-x86-enu /q
若要在不强制系统重启的情况下安装安全更新,请在 Windows NT Server 4.0 的命令提示符处使用以下命令:
Windowsnt4server-kb835732-x86-enu /z
对于 Windows NT Server 4.0 终端服务器版本:
Windowsnt4terminalserver-kb835732-x86-enu /z
对于 Windows NT 工作站 4.0:
Windowsnt4workstation-kb835732-x86-enu /z
有关如何使用软件更新服务部署此安全更新的详细信息,请访问软件更新服务 网站。
重启要求
应用此安全更新后,必须重启系统。
删除信息
若要删除此安全更新,请使用控制面板中的“添加/删除程序”工具。
系统管理员可以使用Hotfix.exe实用工具删除此安全更新。 Hotfix.exe实用工具位于 %Windir%\$NTUninstall知识库(KB)835732$ 文件夹中。 Hotfix.exe实用工具支持以下设置开关:
/y: 执行删除(仅使用 /m 或 /q 开关)
/f: 强制程序在关闭过程中退出
/n: 不创建卸载文件夹
/z: 安装完成后不要重启
/q:使用无用户界面的静默模式或无人参与模式(此开关是 /m 开关的超集)
/m: 将无人参与模式与用户界面配合使用
/l: 列出已安装的修补程序
文件信息
此更新的英文版本包含下表中列出的文件属性(或更高版本)。 这些文件的日期和时间以协调世界时(UTC)列出。 查看文件信息时,会将其转换为本地时间。 若要查找 UTC 与本地时间之间的差异,请使用 控制面板 中的“日期和时间”工具中的“时区”选项卡。
注意 安装过程中的日期和时间信息可能会更改。 应使用版本、大小和文件名信息来确定文件的正确性。
Windows NT 工作站 4.0
Date Time Version Size File name Folder
--------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
27-Feb-2004 16:43 4.0.1381.7263 205,584 Gdi32.dll
23-Feb-2004 15:13 4.0.1381.7263 40,720 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:40 4.0.1381.7255 125,200 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 10:20 4.0.1381.7265 958,336 Ntkrnlmp.exe
18-Mar-2004 10:20 4.0.1381.7265 937,984 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
27-Feb-2004 16:43 4.0.1381.7255 326,928 User32.dll
07-Jan-2004 10:47 4.0.1381.7255 1,255,152 Win32k.sys
27-Feb-2004 16:43 4.0.1381.7260 174,864 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128bit
Windows NT Server 4.0:
Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
27-Feb-2004 16:43 4.0.1381.7263 205,584 Gdi32.dll
23-Feb-2004 15:13 4.0.1381.7263 40,720 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:40 4.0.1381.7255 125,200 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 10:20 4.0.1381.7265 958,336 Ntkrnlmp.exe
18-Mar-2004 10:20 4.0.1381.7265 937,984 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
27-Feb-2004 16:43 4.0.1381.7255 326,928 User32.dll
07-Jan-2004 10:47 4.0.1381.7255 1,255,152 Win32k.sys
27-Feb-2004 16:43 4.0.1381.7260 174,864 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128 Bit
Windows NT Server 4.0 终端服务器版本:
Date Time Version Size File name Folder
-----------------------------------------------------------------------
24-Jan-2004 00:12 5.131.1880.14 465,680 Crypt32.dll
25-Sep-2002 21:36 5.0.1558.6072 90,384 Cryptdlg.dll
12-Dec-2003 00:10 5.131.1878.14 440,080 Cryptui.dll
24-Feb-2004 18:25 4.0.1381.33562 206,096 Gdi32.dll
24-Feb-2004 18:25 4.0.1381.33562 40,208 Mf3216.dll
05-Mar-2004 23:59 5.0.2195.6905 53,520 Msasn1.dll
28-Feb-2004 01:31 5.131.1880.14 37,136 Mscat32.dll
09-Jan-2004 15:41 4.0.1381.33559 208,656 Msgina.dll
07-Jan-2003 02:22 5.131.1878.13 28,432 Mssip32.dll
18-Mar-2004 11:44 4.0.1381.33563 1,004,160 Ntkrnlmp.exe
18-Mar-2004 11:44 4.0.1381.33563 983,104 Ntoskrnl.exe
25-Oct-2003 01:13 4.86.1964.1880 143,632 Schannel.dll
12-Dec-2003 22:24 5.131.1880.14 6,928 Softpub.dll
19-Aug-2003 13:58 4.0.1381.33552 332,048 User32.dll
26-Jan-2004 16:59 4.0.1381.33559 1,280,816 Win32k.sys
16-Dec-2003 17:56 4.0.1381.33559 196,368 Winsrv.dll
19-Feb-2004 17:50 5.131.1880.14 165,648 Wintrust.dll
25-Oct-2003 01:13 4.87.1964.1880 112,912 Schannel.dll 128bit
验证更新安装
若要验证受影响的系统上是否安装了安全更新,你可能能够使用 Microsoft 基线安全分析器(MBSA)工具,这允许管理员扫描本地和远程系统来查找缺少安全更新和常见安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基线安全分析器网站。
还可以通过查看以下注册表项来验证此安全更新已安装的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\知识库(KB)835732\File 1
请注意 ,如果管理员或 OEM 将835732安全更新集成到 Windows 安装源文件中,则可能无法正确创建此注册表项。
其他信息
确认
Microsoft 感谢 以下部门与我们合作,帮助保护客户:
- 用于报告 LDAP 漏洞的核心安全技术的 Carlos Sarraute (CAN-2003-0663)。
- 用于报告 PCT 漏洞的 Internet 安全系统 (CAN-2003-0719)。
- Ondrej Sevecek 报告 Winlogon 漏洞(CAN-2003-0806)。
- iDefense 和 Jouko Pynnönen 报告帮助和支持漏洞 (CAN-2003-0907)。
- Security-Assessment.com、Cesar Cerrudo 和 Ben Pryor 的布雷特·摩尔报告实用工具管理器漏洞(CAN-2003-0908)。
- LogicaCMG 的 Erik Kamphuis 代表荷兰税务办公室报告 Windows 管理漏洞(CAN-2003-0909)。
- 用于报告协商 SSP 漏洞的 NSFOCUS 安全团队 (CAN-2004-0119)。
- 用于报告 SSL 漏洞的 Tenable 网络安全 的 John Lampe (CAN-2004-0120)
- Foundstone Labs 和 Qualys 用于报告 ASN.1“双重释放”漏洞(CAN-2004-0123)。
- 用于报告 LSASS 漏洞(CAN-2003-0533)、图元文件漏洞(CAN-2003-0906)、本地描述符表漏洞(CAN-2003-0910)和虚拟 DOS 计算机漏洞(CAN-2004-0118)
获取其他安全更新:
可从以下位置获取其他安全问题汇报:
- 可从 Microsoft 下载中心获取安全更新:可以通过执行关键字 (keyword)搜索“security_patch”,轻松找到它们。
- Windows 更新网站提供了适用于使用者平台的汇报。
支持:
- 美国和加拿大的客户可以从 1-866-PCSAFETY 的 Microsoft 产品支持服务 获得技术支持。 对于与安全更新关联的支持调用,不收取任何费用。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 与安全更新关联的支持不收取任何费用。 有关如何联系 Microsoft 获取支持问题的详细信息,请访问 国际支持网站。
安全资源:
- Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
- Microsoft 软件更新服务
- Microsoft 基线安全分析器 (MBSA)
- Windows 更新
- Windows 更新目录:有关Windows 更新目录的详细信息,请参阅 Microsoft 知识库文章323166。
- 办公室更新
软件更新服务 (SUS):
Microsoft 软件更新服务(SUS)使管理员能够快速可靠地将最新的关键更新和安全更新部署到基于 Windows® 2000 和 Windows Server™ 2003 的服务器,以及运行 Windows 2000 Professional 或 Windows XP Professional 的桌面系统。
有关如何使用软件更新服务部署此安全更新的信息,请访问 软件更新服务 网站。
系统管理系统服务器(SMS):
系统管理服务器可以提供部署此安全更新的帮助。 有关系统管理服务器的信息, 请访问 SMS 网站。 有关 SMS 2003 提供的安全更新部署过程的许多增强功能的详细信息,请访问 SMS 2003 安全修补程序管理网站。 对于 SMS 2.0 的用户,它还提供了一些其他工具来帮助管理员部署安全更新,例如 SMS 2.0 软件更新服务功能包和 SMS 2.0 管理员管理功能包。 SMS 2.0 软件更新服务功能包利用 Microsoft 基线安全分析器和Microsoft 办公室检测工具为安全公告修正提供广泛的支持。 某些软件更新可能需要在重启计算机后拥有管理权限
请注意,SMS 2.0 软件更新服务功能包的清单功能可用于针对特定计算机的更新,SMS 2.0 管理员管理功能包的提升权限部署工具可用于安装。 这为需要在重启计算机后使用系统管理服务器和管理权限的更新提供最佳部署。
免责声明:
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- V1.0 2004 年 4 月 13 日:已发布公告
- V1.1 2004 年 4 月 21 日:公告已更新,以反映更新后的更新信息。 公告还进行了更新,以反映 MBSA 检测行为的变化,如更新的常见问题解答部分中所述。 公告还包含实用工具管理器漏洞(CAN-2003-0908)的解决方法部分的修订。
- V1.2 2 2004 年 4 月 28 日:更新了注意事项部分,以反映修订后的 Microsoft 知识库文章 835732的可用性。 它记录了客户安装此安全更新时可能会遇到的当前已知问题。 本文还记录了针对这些问题的建议解决方案。
- V1.3 2004 年 5 月 4 日:在 LSASS 漏洞的“解决方法”部分添加了新信息。
- V2.0 2004 年 6 月 15 日:更新公告,以建议提供适用于泛中文的更新 Windows NT 4.0 工作站更新。 即使安装了原始更新,客户也应安装此更新。
- V2.1 2004 年 8 月 10 日:更新了公告,以在使用 Windows XP RTM 时修改 PCT 漏洞的解决方法部分。
生成于 2014-04-18T13:49:36Z-07:00