安全公告
Microsoft安全公告 MS05-022 - 严重
MSN Messenger 中的漏洞可能导致远程代码执行(896597)
发布时间: 2005 年 4 月 12 日 |更新时间:2009 年 1 月 21 日
版本: 2.0
总结
谁应阅读本文档: 使用 MSN Messenger 的客户
漏洞的影响: 远程代码执行
最大严重性分级: 严重
建议: 客户应立即应用更新。
安全更新替换: 此公告取代了以前的安全更新。 有关完整列表,请参阅本公告的常见问题解答(常见问题解答)部分。
警告: 无
测试的软件和安全更新下载位置:
受影响的软件:
- MSN Messenger 6.2 - 下载更新
受影响的软件:
- MSN Messenger 7.0
此列表中的软件已经过测试,以确定版本是否受到影响。 其他版本要么不再包含安全更新支持,要么可能不受影响。 若要确定产品和版本的支持生命周期,请访问Microsoft 支持部门生命周期网站。
常规信息
执行摘要
摘要:
此更新可解决新发现的私有报告漏洞。 此公告的“漏洞详细信息”部分记录了该漏洞。
成功利用此漏洞的攻击者可以完全控制受影响的系统。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。
严重性分级和漏洞标识符:
| 漏洞标识符 | 漏洞的影响 | MSN Messenger 6.2 |
|---|---|---|
| MSN Messenger 漏洞 - CAN-2005-0562 | 远程代码执行\ | 危急\ |
| 所有漏洞的聚合严重性 | 关键\ |
此 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。
与此安全更新相关的常见问题(常见问题解答)
为什么此公告于 2009 年 1 月 21 日修订?
Microsoft修订了此公告,将 MSN Messenger 6.2 的下载链接替换为 MS07-054 的公告链接,“MSN Messenger 和 Windows Live Messenger 中的漏洞可能允许远程代码执行(942099)。对于 MS07-054 中的 MSN Messenger 6.2,此下载链接已因所需的升级而过时。 事实上,MS07-054 列出了其他 MSN Messenger 版本以及 Window Live Messenger 8.0 作为受影响的软件。 用户可以使用 MS07-054 中提供的下载链接登录到任一服务之前升级。 未升级到非易受攻击版本的 MSN Messenger 或 Windows Live Messenger 的用户将在登录时分别由 MSN Messenger 或 Windows Live Messenger 服务提示。
此版本将替换哪些更新?
此安全更新将替换以前的安全更新。 下表中列出了安全公告 ID 和受影响的操作系统:
| 公告 ID | MSN Messenger 6.2 |
|---|---|
| MS05-009 | 取代\ |
是否可以使用Microsoft基线安全分析器(MBSA)来确定是否需要此更新?
否。 MBSA 不支持 MSN Messenger,并且不会检测受影响的软件是否需要更新。 但是,Microsoft开发了企业更新扫描工具(EST)的版本,可帮助客户确定是否需要 MSN Messenger 安全更新。
有关 MBSA 当前未检测到的程序的详细信息,请参阅 Microsoft知识库文章 306460。 有关 MBSA 的详细信息,请访问 MBSA 网站。
什么是企业更新扫描工具(EST)?
作为为公告类安全更新提供检测工具的持续承诺的一部分,只要Microsoft基线安全分析器(MBSA)和 Office 检测工具(ODT)无法检测 MSRC 发布周期是否需要更新,Microsoft就提供独立检测工具。 此独立工具称为企业更新扫描工具(EST),专为企业管理员设计。 为特定公告创建企业更新扫描工具版本时,客户可以从命令行界面(CLI)运行该工具,并查看 XML 输出文件的结果。 为了帮助客户更好地利用该工具, 将提供详细的文档 。 还有一个版本的工具为短信管理员提供集成体验。
是否可以使用企业更新扫描工具 (EST) 版本来确定是否需要此更新?
是的。 Microsoft创建了一个 EST 版本,该版本将确定是否需要应用此更新。 有关本月发布的 EST 版本的详细信息,请参阅以下 Microsoft网站。 有关本月发布的 EST 版本的更详细的部署信息,请参阅以下 Microsoft网站。
此工具还有一个版本,SMS 客户可以从以下 Microsoft网站获取。 此工具也可用于来自 短信网站的短信客户。
是否可以使用系统管理服务器(SMS)来确定是否需要此更新?
否。 SMS 使用 MBSA 进行检测,并且 MBSA 未检测到此更新。 有关短信的信息,请访问 SMS 网站。
但是,有一个版本 EST,SMS 客户可以从以下 Microsoft网站获取为 SMS 管理员提供集成体验。
需要安全更新清单工具来检测Microsoft Windows 和其他受影响的Microsoft产品。 有关安全更新清单工具的限制的详细信息,请参阅 Microsoft知识库文章 306460
有关短信的详细信息,请访问 SMS 网站。
可以使用 SMS 的 清单和软件分发 功能部署此更新。
漏洞详细信息
MSN Messenger 漏洞 - CAN-2005-0562:
MSN Messenger 中存在远程代码执行漏洞,可让成功利用此漏洞的攻击者完全控制受影响的系统。
MSN Messenger 漏洞的缓解因素 - CAN-2005-0562:
默认情况下,MSN Messenger 不允许匿名人员向你发送消息。 攻击者首先需要吸引你将其添加到联系人列表中。
MSN Messenger 漏洞的解决方法 - CAN-2005-0562:
Microsoft已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,将在以下部分中标识它。
查看联系人列表中当前的所有联系人,并删除或阻止您不知道、不信任或不再需要的任何联系人。
不要同意接受来自你不知道或信任的联系人的文件传输。
阻止在企业环境中访问 MSN Messenger 和 Web Messenger。
阻止访问企业环境中的传出端口 1863。 请注意,建立直接连接时,MSN Messenger 服务通过端口 1863 进行连接。 当无法建立直接连接时,MSN Messenger 服务将通过端口 80 进行连接。
阻止对 gateway.messenger.hotmail.com 的 HTTP 访问。 如果要阻止访问 MSN Web Messenger,则还需要阻止对 webmessenger.msn.com 的 HTTP 访问。
解决方法的影响:MSN Messenger 客户端将无法连接到 MSN Messenger 网络
MSN Messenger 漏洞常见问题解答 - CAN-2005-0562:
MSN Messenger 7.0 beta 版是否受此漏洞影响?
是的。 MSN Messenger 7.0 beta 版本发布后报告了此漏洞。 鼓励在 MSN Messenger 上运行 7.0 beta 版本的客户升级到不易受攻击的软件的已发布版本。**
漏洞的范围是什么?
这是远程代码执行漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
导致漏洞的原因是什么?
MSN Messenger 能够以 GIF 图像格式呈现和查看文件。 MSN Messenger 可能无法正确处理格式不正确的 GIF 图像的高度和宽度。
什么是 GIF?
GIF 表示图形交换格式。 它是较旧的 256 调色板,与 8 位视频板更兼容。 此后,它基本上已替换为 PNG 和 TIF 图形格式。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统**。**
谁可以利用漏洞?
攻击者可能试图利用此漏洞,说服用户将其添加到联系人列表中,并发送特制的表情符号或显示图片**。**
哪些系统主要面临漏洞的风险?
工作站和终端服务器主要面临风险。 如果没有足够管理凭据的用户能够登录到服务器并运行程序,则服务器可能会面临更大的风险。 但是,最佳做法强烈建议不要允许此做法。**
Windows 98、Windows 98 Second Edition 还是 Windows Millennium Edition 严重受此漏洞影响?
是的。 运行受影响版本的 MSN Messenger 的客户应安装更新版本的 MSN Messenger。
更新的作用是什么?
更新通过修改 MSN Messenger 在处理 GIF 文件之前验证 GIF 文件的方式来消除漏洞。
发布此安全公告后,是否已公开披露此漏洞?
否。 Microsoft通过负责任的披露收到了有关此漏洞的信息。
此漏洞与 MS05-009 更正的 PNG 处理漏洞有何关联?
这两个漏洞都影响了图形格式。 但是,此更新解决了不同类型图形格式的新漏洞,该漏洞未作为 MS05-009 的一部分解决。 MS05-009 有助于防范该公告中讨论的漏洞,但不解决此新漏洞。 此更新将替换 MSN Messenger 的 MS05-009。
安全更新信息
受影响的软件:
有关受影响软件的特定安全更新的信息,请单击相应的链接:
MSN Messenger 6.2
此 安全更新的先决条件需要 MSN Messenger 6.2。
重启要求
此更新可能需要重新启动计算机。
删除信息
无法卸载此更新。
验证更新安装
若要验证是否已在受影响的系统上安装安全更新,请执行以下步骤:
在 MSN Messenger 中,单击“帮助”,然后单击“关于”。
检查版本号。
如果版本号读取 6.2.0208 或更高版本,则更新已成功安装。
其他信息
确认
Microsoft感谢以下内容帮助我们保护客户:
- 宏镇周 报告 MSN Messenger 漏洞(CAN-2005-0562)。
获取其他安全更新:
以下位置提供了其他安全问题的更新:
支持:
- 美国和加拿大的客户可以从 1-866-PCSAFETY 的Microsoft产品支持服务获得技术支持。 对于与安全更新关联的支持调用,不收取任何费用。
- 国际客户可以从其本地Microsoft子公司获得支持。 不支持与安全更新关联的支持。 有关如何联系Microsoft以获取支持问题的详细信息,请访问 国际支持网站。
安全资源:
- Microsoft TechNet 安全网站提供有关Microsoft产品中安全性的其他信息。
- Microsoft软件更新服务
- Microsoft基线安全分析器 (MBSA)
- Windows 更新
- Windows 更新目录:有关Windows 更新目录的详细信息,请参阅Microsoft知识库文章323166。
- Office 更新
软件更新服务:
通过使用Microsoft软件更新服务(SUS),管理员可以快速可靠地将最新的关键更新和安全更新部署到基于 Windows 2000 和 Windows Server 2003 的服务器,以及运行 Windows 2000 Professional 或 Windows XP Professional 的桌面系统。
有关如何使用软件更新服务部署此安全更新的详细信息,请访问 软件更新服务网站。
系统管理服务器:
Microsoft系统管理服务器(SMS)提供高度可配置的企业解决方案来管理更新。 通过使用 SMS,管理员可以识别需要安全更新的基于 Windows 的系统,并且可以在整个企业中执行这些更新的受控部署,同时对最终用户造成最小中断。 有关如何使用 SMS 2003 部署安全更新的详细信息,请访问 SMS 2003 安全修补程序管理网站。 SMS 2.0 用户也可以使用 软件更新服务功能包 来帮助部署安全更新。 有关短信的信息,请访问 SMS 网站。
请注意,SMS 使用Microsoft基线安全分析、Microsoft 办公室检测工具和企业更新扫描工具为安全公告更新检测和部署提供广泛的支持。 这些工具可能无法检测到某些软件更新。 在这些情况下,管理员可以使用 SMS 的清单功能来针对特定系统的更新。 有关此过程的详细信息,请访问以下 网站。 某些安全更新要求在重启系统后拥有管理权限。 管理员可以使用提升的权限部署工具(可在 SMS 2003 管理功能包和 SMS 2.0 管理功能包中)安装这些更新。
免责声明:
Microsoft知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft明示或默示地否认所有担保,包括适销性和针对特定用途的适用性的保证。 在任何情况下,Microsoft公司或其供应商应承担任何损害,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使Microsoft公司或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- V1.0(2005 年 4 月 12 日):已发布公告
- V1.1(2005 年 5 月 11 日):公告更新了 MSN Messenger 6.2 的正确文件版本信息
- V2.0(2009 年 1 月 21 日):公告已更新。 将 MSN Messenger 6.2 的下载链接替换为 MS07-054 的公告链接。 用户可以使用 MS07-054 中的特定下载链接进行升级,或者登录到 MSN Messenger 服务以接受所需的升级。
生成于 2014-04-18T13:49:36Z-07:00