安全公告
Microsoft 安全公告 MS05-037 - 严重
JView 探查器中的漏洞可能允许远程代码执行(903235)
发布时间: 2005 年 7 月 12 日 |更新时间:2005 年 7 月 20 日
版本: 1.1
总结
谁应阅读本文档: 使用 Microsoft Windows 的客户
漏洞的影响: 远程代码执行
最大严重性分级: 严重
建议: 客户应立即应用更新。
安全更新替换: 无
警告: 无
测试的软件和安全更新下载位置:
受影响的软件:
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professional x64 版本
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 Service Pack 1
- 适用于基于 Itanium 的系统的 Microsoft Windows Server 2003
- 适用于基于 Itanium 的系统的 Microsoft Windows Server 2003 SP1
- Microsoft Windows Server 2003 x64 版本
- Microsoft Windows 98、Microsoft Windows 98 Second Edition (标准版) 和 Microsoft Windows Millennium Edition (ME)
测试的 Microsoft Windows 组件:
受影响的组件:
- JView Profiler
- Microsoft Windows 2000 Service Pack 4 上的 Internet Explorer 5.01 Service Pack 4 - 下载更新
- Microsoft Windows 2000 Service Pack 4 或 Microsoft Windows XP Service Pack 1 上的 Internet Explorer 6 Service Pack 1 - 下载更新
- 适用于 Microsoft Windows XP Service Pack 2 的 Internet Explorer 6 - 下载更新
- 适用于 Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1 的 Internet Explorer 6 - 下载更新
- Microsoft Windows Server 2003 for Itanium based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems - 下载更新
- 适用于 Microsoft Windows Server 2003 x64 版本的 Internet Explorer 6 - 下载更新
- 适用于 Microsoft Windows XP Professional x64 版本的 Internet Explorer 6 - 下载更新
- Microsoft Windows Millennium Edition 上的 Internet Explorer 5.5 Service Pack 2 - 查看本公告的常见问题解答部分,了解有关这些操作系统的详细信息。
- Microsoft Windows 98、Microsoft Windows 98 标准版或 Microsoft Windows Millennium Edition 上的 Internet Explorer 6 Service Pack 1 - 有关这些操作系统的详细信息,请查看本公告的常见问题解答部分。
此列表中的软件已经过测试,以确定版本是否受到影响。 其他版本要么不再包含安全更新支持,要么可能不受影响。 若要确定产品和版本的支持生命周期,请访问Microsoft 支持部门生命周期网站。
常规信息
执行摘要
摘要:
此更新可解决新发现的公共漏洞。 在 Internet Explorer 中实例化时,COM 对象 JView Profiler (Javaprxy.dll),包含远程代码执行漏洞,可让攻击者完全控制受影响的系统。 由于 JView Profiler COM 对象不是通过 Internet Explorer 访问的,因此此更新为 JView Profiler (Javaprxy.dll) COM 对象设置 终止位 。 此公告的“漏洞详细信息”部分记录了该漏洞。
如果用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以完全控制受影响的系统。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。
我们建议客户立即应用更新。
严重性分级和漏洞标识符:
| 漏洞标识符 | 漏洞的影响 | Internet Explorer 5.01 Service Pack 4 | Windows ME 上的 Internet Explorer 5.5 Service Pack 2 | Internet Explorer 6 Service Pack 1(Windows Server 2003 以前的所有受支持的操作系统版本) | 适用于 Windows Server 2003 和 Windows Server 2003 Service Pack 1 的 Internet Explorer 6 | 适用于 Windows XP Service Pack 2 的 Internet Explorer 6 |
|---|---|---|---|---|---|---|
| JView 探查器漏洞 - CAN-2005-2087 | 远程代码执行 | 严重 | 严重 | 严重 | 中等 | 严重 |
此 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。
请注意 ,非 x86 操作系统版本的严重性分级映射到 x86 操作系统版本,如下所示:
- 适用于 Windows XP Professional x64 版本的 Internet Explorer 6 严重性分级与 Internet Explorer 6 Service Pack 1(低于 Windows Server 2003 的所有受支持的操作系统版本)严重性评级相同。
- Internet Explorer 6 for Microsoft Windows Server 2003 for Itanium based Systems and Windows Server 2003 x64 Edition 严重性分级与 Internet Explorer 6 for Windows Server 2003 严重性分级相同。
与此安全更新相关的常见问题(常见问题解答)
如果我已应用 Microsoft 下载中心提供的JView Profiler 公告提供的更新,是否需要应用此安全更新?
否。 如果已应用 2005 年 7 月 5 日发布的公告更新提供的下载,则无需应用此安全更新。
此更新是否包含对功能的任何更改?
否。 由于 JView Profiler COM 对象不是通过 Internet Explorer 访问的,因此此更新为 JView Profiler (Javaprxy.dll) COM 对象设置 终止位 。 为了帮助保护安装了此对象的客户,此更新可防止在 Internet Explorer 中实例化它。 有关终止位的详细信息,请参阅 Microsoft 知识库文章240797。 此对象的类标识符(CLSID)为“03D9F3F2-B0E3-11D2-B081-006008039BF0”。
对 Windows 98、Windows 98 Second Edition 和 Windows Millennium Edition 的扩展支持如何影响这些操作系统安全更新的发布?
Microsoft 将仅发布针对严重安全问题的安全更新。 此支持期间不提供非关键安全问题。 有关这些操作系统的Microsoft 支持部门生命周期策略的详细信息,请访问以下网站。
有关严重性分级的详细信息,请访问以下 网站。
请注意 ,这些操作系统的关键安全更新可能无法与此安全公告中包含的其他安全更新同时提供。 发布后,它们将尽快提供。 当这些安全更新可用时,你只能从Windows 更新网站下载它们。
Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 是否受到此安全公告中解决的一个或多个漏洞的影响?
是的。 Windows 98、Windows 98 Second Edition 和 Windows Millennium Edition 受到此漏洞的严重影响。 可从Windows 更新网站下载这些安全更新。 有关严重性分级的详细信息,请访问以下 网站。
请注意,Windows 更新不支持的本地化版本的 Microsoft Windows Millennium Edition 汇报可在以下下载位置下载:
Microsoft Windows NT 工作站 4.0 Service Pack 6a 和 Windows 2000 Service Pack 2 的扩展安全更新支持已于 2004 年 6 月 30 日结束。 Microsoft Windows NT Server 4.0 Service Pack 6a 的扩展安全更新支持已于 2004 年 12 月 31 日结束。 Microsoft Windows 2000 Service Pack 3 的扩展安全更新支持已于 2005 年 6 月 30 日结束。 我仍在使用其中一个操作系统,我该怎么办?
Windows NT 工作站 4.0 Service Pack 6a、Windows NT Server 4.0 Service Pack 6a、Windows 2000 Service Pack 2 和 Windows 2000 Service Pack 3 已达到生命周期结束。 对于拥有这些操作系统版本的客户来说,这应该是一个优先事项,可以迁移到受支持的版本,以防止潜在的漏洞暴露。 有关 Windows 产品生命周期的详细信息,请访问以下Microsoft 支持部门生命周期网站。 有关这些操作系统版本的延长安全更新支持期的详细信息,请访问 Microsoft 产品支持服务网站。
需要对 Windows NT 4.0 SP6a 提供额外支持的客户必须联系其 Microsoft 帐户团队代表、其技术客户经理或相应的 Microsoft 合作伙伴代表以获取自定义支持选项。 没有联盟、顶级或授权合同的客户可以与其当地的 Microsoft 销售办公室联系。 有关联系信息,请访问 Microsoft 全球信息网站,选择国家/地区,然后单击“转到”以查看电话号码列表。 呼叫时,请与当地顶级支持销售经理交谈。
有关详细信息,请参阅 Windows 操作系统产品支持生命周期常见问题解答。
Microsoft Windows XP 64 位版 Service Pack 1(Itanium)和 Microsoft Windows XP 64 位版本 2003(Itanium)的安全更新支持于 2005 年 6 月 30 日结束。 我仍在使用其中一个操作系统,我该怎么办?
随着 Windows XP Professional x64 Edition 的发布,Microsoft Windows XP 64 位版 Service Pack 1(Itanium)和 Microsoft Windows XP 64 位版本 2003(Itanium)将不再收到安全更新支持。 对于拥有这些操作系统版本的客户来说,这应该是一个优先事项,可以迁移到受支持的版本,以防止潜在的漏洞暴露。 Microsoft 将继续完全支持基于 Itanium 的系统、Windows XP Professional x64 Edition 和 Windows Server 2003 x64 Editions 的 Windows Server 2003,以满足 64 位计算要求。 Microsoft 继续为基于 Itanium 的系统许可和支持 Windows Server 2003 企业版和数据中心版,以及 64 位版本的 SQL Server 2000 企业版。 将来,我们将向 Visual Studio 2005、.NET Framework 2005 和 SQL Server 2005 扩展 Itanium 支持。
需要有关此问题的其他帮助的客户必须联系其 Microsoft 帐户团队代表、其技术客户经理或相应的 Microsoft 合作伙伴代表,以获取有关可用迁移选项的信息。 没有联盟、顶级或授权合同的客户可以与其当地的 Microsoft 销售办公室联系。 有关联系信息,请访问 Microsoft 全球信息网站,选择国家/地区,然后单击“转到”以查看电话号码列表。 呼叫时,请与当地顶级支持销售经理交谈。
是否可以使用 Microsoft 基线安全分析器 (MBSA) 1.2.1 来确定是否需要此更新?
是的。 MBSA 1.2.1 将确定是否需要此更新。 有关 MBSA 的详细信息,请访问 MBSA 网站。
是否可以使用 Microsoft 基线安全分析器 (MBSA) 2.0 来确定是否需要此更新?
是的。 MBSA 2.0 将确定是否需要此更新。 MBSA 2.0 可以检测 Microsoft Update 支持的产品的安全更新。 有关 MBSA 的详细信息,请访问 MBSA 网站。
是否可以使用系统管理服务器(SMS)来确定是否需要此更新?
是的。 SMS 可帮助检测和部署此安全更新。 有关短信的信息,请访问 SMS 网站。
漏洞详细信息
JView 探查器漏洞 - CAN-2005-2087:
JView Profiler 中存在远程代码执行漏洞。 攻击者可以通过构建恶意网页来利用漏洞,如果用户访问了恶意网站,该网页可能会允许远程代码执行。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
JView 探查器漏洞的缓解因素 - CAN-2005-2087:
在基于 Web 的攻击方案中,攻击者必须托管包含用于利用此漏洞的网页的网站。 攻击者无法强制用户访问恶意网站。 相反,攻击者必须说服他们访问该网站,通常是通过让他们单击一个链接,将他们带到攻击者的网站。
成功利用此漏洞的攻击者可能会获得与本地用户相同的用户权限。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。
默认情况下,Microsoft Java 虚拟机不包括在以下软件中:
- Windows XP Service Pack 1a 和 Windows XP Service Pack 2
- Windows Server 2003 和 Windows Server 2003 Service Pack 1
但是,Microsoft Java 虚拟机可能已由应用程序安装。 也可能由于升级操作系统而存在。 客户可以使用可从 Microsoft Java 虚拟机支持页获取的 MSJVM 诊断工具。 客户可以使用此工具执行远程和本地扫描,以检测 MSJVM 和 MSJVM 相关软件是否存在。 请参阅“如何实现知道我的系统上是否有Javaprxy.dll?” 有关详细信息,请参阅本文档的 FAQ 部分的问题。
受限站点区域通过阻止读取 HTML 电子邮件时使用 ActiveX 控件,帮助减少可能尝试利用此漏洞的攻击。 但是,如果用户单击电子邮件中的链接,他们仍可能通过前面所述的基于 Web 的攻击方案容易受到此问题的影响。
JView 探查器漏洞的解决方法 - CAN-2005-2087:
Microsoft 已测试以下解决方法。 虽然这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 解决方法是相互排斥的,因此用户只需要应用一个安全的方法。 当解决方法减少功能时,将在以下部分中标识它。
在这些区域中运行 ActiveX 控件之前,将 Internet 和本地 Intranet 安全区域设置设置为“高”以提示
通过在运行 ActiveX 控件之前更改 Internet 安全区域的设置来提示,帮助防范此漏洞。 可以通过将浏览器安全性设置为 “高”来执行此操作。
若要提高 Microsoft Internet Explorer 中的浏览安全级别,请执行以下步骤:
- 在 Internet Explorer 工具菜单上,单击“Internet 选项”。
- 在 “Internet 选项 ”对话框中,单击“ 安全 ”选项卡,然后单击“ Internet ”图标。
- 在此区域的安全级别下,将滑块移动到“高”。 这为访问“高”的所有网站设置安全级别。
请注意 ,如果没有显示滑块,请单击“ 默认级别”,然后将滑块移动到 “高”。
通过单击“本地 Intranet” 图标,对本地 Intranet 安全区域重复步骤 1 到 3。
请注意 ,将级别设置为 “高 ”可能会导致某些网站无法正常工作。 如果在更改此设置后难以使用网站,并且确信网站安全使用,则可以将该网站添加到受信任的网站列表中。 这样,即使安全设置设置为 “高”,站点也能正常工作。
解决方法的影响: 除非网站位于用户受信任的网站列表中,否则在运行 ActiveX 控件之前,系统会提示用户。
在 Internet 和本地 Intranet 安全区域中配置 Internet Explorer 以提示运行 ActiveX 控件或禁用 ActiveX 控件
通过在 Internet 和本地 Intranet 安全区域中运行 ActiveX 控件或禁用 ActiveX 控件之前,将设置更改为提示,帮助防范此漏洞。 为此,请按照下列步骤进行操作:
- 在 Internet Explorer 工具菜单上,单击“Internet 选项”。
- 在 “Internet 选项 ”对话框中,单击“ 安全 ”选项卡,然后单击“ Internet ”图标。
- 单击 “自定义级别”。
- 在设置下,在“ActiveX 控件和插件”部分的“运行 ActiveX 控件和插件”下,单击“提示”或“禁用”,然后单击“确定”。
- 单击“本地 Intranet”,然后单击“自定义级别”。
- 在设置下,在 ActiveX 控件和插件部分的“运行 ActiveX 控件和插件”下,单击“提示”或“禁用”,然后单击“确定”。
- 单击“ 确定 ”两次以返回到 Internet Explorer。
解决方法的影响: 在运行 ActiveX 控件之前提示有副作用。 许多位于 Internet 或 Intranet 上的网站都使用 ActiveX 来提供其他功能。 例如,在线电子商务网站或银行网站可能使用 ActiveX 控件来提供菜单、订购表单,甚至帐户账单。 在运行 ActiveX 控件之前提示是影响所有 Internet 和 Intranet 站点的全局设置。 启用此解决方法时,会经常提示你。 对于每个提示,如果你觉得你信任访问的网站,请单击“是”以运行 ActiveX 控件。
取消注册 Javaprxy.dll COM 对象
若要取消注册Javaprxy.dll,请执行以下步骤:
- 单击 “开始”,单击“ 运行”,键入“regsvr32 /u javaprxy.dll”(不含引号),然后单击“ 确定”。
- 此时会显示一个对话框,确认取消注册过程已成功。 单击 “确定” 关闭对话框。
- 关闭 Internet Explorer,然后重新打开它,使更改生效。
解决方法的影响: 需要 Microsoft Java 虚拟机的应用程序可能无法再正常运行。
若要撤消此更改,请按照上述步骤重新注册Javaprxy.dll。 将步骤 1 中的文本替换为 “regsvr32 %windir%\system32\javaprxy.dll” (不含引号)。
修改Javaprxy.dll上的访问控制列表,使其更具限制性
若要修改Javaprxy.dll上的访问控制列表(ACL),使其更具限制性,请执行以下步骤:
单击“ 开始”,单击“ 运行”,键入“cmd”(不含引号),然后单击“ 确定”。
在命令提示符下键入以下命令。 记下文件(包括继承设置)上的当前 ACL,以供将来参考,以防必须撤消此修改:
cacls %windir%\system32\javaprxy.dll
在命令提示符处键入以下命令,拒绝“每个人”组对此文件的访问权限:
cacls %windir%\system32\javaprxy.dll /d 每个人
关闭 Internet Explorer,然后重新打开它,使更改生效。
解决方法的影响: 需要 Microsoft Java 虚拟机的应用程序可能无法再正常运行。
使用软件限制策略限制访问 Internet Explorer 中的Javaprxy.dll
若要限制对 Windows XP 及更高版本中 Internet Explorer 中Javaprxy.dll的访问,可以创建 软件限制策略。 若要创建此策略,请使用注册表脚本或创建组策略设置来阻止加载Javaprxy.dll。
请注意 ,错误地使用注册表编辑器可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 无法保证可以解决因不正确地使用注册表编辑器而导致的问题。 请慎用注册表编辑器,风险自负。 有关如何编辑注册表的信息,请查看注册表编辑器(Regedit.exe)中的“更改键和值”帮助主题,或在Regedt32.exe中查看“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。
建议先备份注册表,然后再对其进行编辑。
使用以下文本创建.reg文件以在 Internet Explorer 中取消注册Javaprxy.dll。 可以复制以下文本,将其粘贴到文本编辑器(如记事本),然后使用.reg文件扩展名保存该文件。 在易受攻击的客户端上运行.reg文件。
Windows 注册表编辑器版本 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\保险箱r\CodeIdentifiers] “TransparentEnabled”=dword:00000002 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\保险箱r\CodeIdentifiers\0\Paths\{09687f 8a-0ca9-4639-b295-a3f5b5be8fc5}] “LastModified”=hex(b):50,09,1f,b1,04,4a,c5,01 “Description”=“Block javaprxy.dll” “保险箱rFlags“=dword:00000000 ”ItemData“=hex(2):25,00,77,00,69,00,6e,00,64,00,00,00 69,00,72,00,25,00,5c,00,73,00,\ 79,00,73,00,74,00,65,00 00,6d,00,33,00,32,00,5c,00,6a,00,61,00,76,00,61,00,70 ,\ 00,72,00,78,00,79,00,2e,00,64,00,6c,00,6c,00,00,00,00
解决方法的影响: 需要 Microsoft Java 虚拟机的应用程序可能无法再正常运行。
使用 Java 删除工具从系统中删除 Microsoft Java 虚拟机
客户可以使用 Microsoft Java 虚拟机支持页提供的 MSJVM 诊断工具执行远程和本地扫描,以检测 MSJVM 和 MSJVM 相关软件是否存在。
然后,客户可以使用 Java 删除工具从其系统中永久删除 Microsoft Java 虚拟机。 有关如何有资格从 Microsoft 产品支持服务访问 Java 删除工具的详细信息,请参阅 Microsoft 知识库文章826878。
警告: 从系统中删除 Microsoft Java 虚拟机是永久性的。 Microsoft 无法向你提供 Windows 操作系统恢复媒体,其中包括用于重新安装的 MSJVM。 Microsoft 不再在 Windows 操作系统产品中包含 MSJVM。
解决方法的影响: 需要 Microsoft Java 虚拟机的应用程序将不再正常运行。
JView 探查器漏洞常见问题解答 - CAN-2005-2087:
漏洞的范围是什么?
这是远程代码执行漏洞。 成功利用此漏洞的攻击者可以远程控制受影响的系统。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。
导致漏洞的原因是什么?
当 Internet Explorer 尝试将 JView Profiler (Javaprxy.dll) COM 对象实例化为 ActiveX 控件时,它可能会以攻击者可以执行任意代码的方式损坏系统内存。
什么是 JView Profiler?
JView Profiler 是 Microsoft Java 虚拟机(MSJVM)的调试器接口。 有关 Microsoft Java 虚拟机(MSJVM)的详细信息,请访问 Microsoft Java 虚拟机网站
如何实现知道我的系统上是否有Javaprxy.dll?
客户可以搜索此文件,也可以使用 Microsoft Java 虚拟机(MSJVM) 诊断工具。 此工具可从 Microsoft Java 虚拟机支持页获取,可用于执行远程和本地扫描,以检测 MSJVM 和 MSJVM 相关软件是否存在。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统。 在基于 Web 的攻击方案中,攻击者将托管利用此漏洞的网站。 攻击者无法强制用户访问恶意网站。 相反,攻击者必须说服他们访问该网站,通常是通过让他们单击一个链接,将他们带到攻击者的网站。 还可以通过使用横幅广告或其他方法向受影响的系统传送 Web 内容来显示恶意 Web 内容。
攻击者如何利用漏洞?
攻击者可以托管一个恶意网站,该网站旨在通过 Internet Explorer 利用此漏洞,然后说服用户查看网站。
哪些系统主要面临漏洞的风险?
此漏洞要求用户登录并阅读电子邮件,或通过访问网站进行任何恶意操作。 因此,读取电子邮件或经常使用 Internet Explorer 的任何系统(例如工作站或终端服务器)都面临此漏洞的最大风险。
Windows 98、Windows 98 Second Edition 还是 Windows Millennium Edition 严重受此漏洞影响?
是的。 Windows 98、Windows 98 Second Edition 和 Windows Millennium Edition 受到此漏洞的严重影响。 安全更新可从Windows 更新网站获取。 有关严重性分级的详细信息,请访问以下 网站。
更新的作用是什么?
由于 JView Profiler COM 对象不是通过 Internet Explorer 访问的,因此此更新为 JView Profiler (Javaprxy.dll) COM 对象设置 终止位 。 为了帮助保护安装了此对象的客户,此更新可防止在 Internet Explorer 中实例化它。 有关终止位的详细信息,请参阅 Microsoft 知识库文章240797。 此对象的类标识符(CLSID)为“03D9F3F2-B0E3-11D2-B081-006008039BF0”。
发布此安全公告后,是否已公开披露此漏洞?
是的。 此漏洞已公开披露。 它已分配有常见漏洞和暴露号 CAN-2005-2087。
发布此安全公告后,Microsoft 是否收到了有关此漏洞被利用的任何报告?
是的。 当安全公告发布时,Microsoft 收到了有关此漏洞被利用的信息。
应用此安全更新是否有助于保护客户免受公开发布的试图利用此漏洞的代码?
是的。 此安全更新可解决被利用的漏洞。 已解决的漏洞已分配给通用漏洞和暴露号 CAN-2005-2087。
安全更新信息
受影响的软件:
有关受影响软件的特定安全更新的信息,请单击相应的链接:
适用于 Windows Server 2003(所有版本)、Microsoft Windows Server 2003 x64 Edition 和 Microsoft Windows XP Professional x64 版本的 Internet Explorer 6
此安全更新的 先决条件要求 Windows Server 2003、Windows Server 2003 Service Pack 1、Microsoft Windows Server 2003 x64 Edition 或 Microsoft Windows XP Professional x64 Edition 上的 Internet Explorer 6
包含在将来的 Service Pack 中: 此问题的更新将包含在将来的 Service Pack 或更新汇总中。
安装信息
此安全更新支持以下设置开关。
| Switch | 说明 |
|---|---|
| /help | 显示命令行选项 |
| 设置模式 | |
| /passive | 无人参与安装模式。 无需用户交互,但显示安装状态。 如果在安装程序结束时需要重启,则会向用户显示一个对话框,并显示一个计时器警告,指出计算机将在 30 秒内重启。 |
| /quiet | 静默模式。 这与无人参与模式相同,但不会显示状态或错误消息。 |
| 重启选项 | |
| /norestart | 安装完成后不会重启 |
| /forcerestart | 安装后重启计算机,并强制其他应用程序在关闭时关闭,而无需先保存打开的文件。 |
| /warnrestart[:x] | 显示一个对话框,其中包含一个计时器警告用户计算机将在 x 秒内重启。 (默认设置为 30 秒。 适用于 /quiet 开关或 /passive 开关。 |
| /promptrestart | 显示一个对话框,提示本地用户允许重启 |
| 特殊选项 | |
| /overwriteoem | 在不提示的情况下覆盖 OEM 文件 |
| /nobackup | 不备份卸载所需的文件 |
| /forceappsclose | 强制在计算机关闭时关闭其他程序 |
| **/log:**path | 允许重定向安装日志文件 |
| **/integrate:**path | 将更新集成到 Windows 源文件中。 这些文件位于开关中指定的路径。 |
| /extract[:path] | 在不启动安装程序的情况下提取文件 |
| /二 | 启用扩展错误报告 |
| /verbose | 启用详细日志记录。 在安装过程中,创建 %Windir%\CabBuild.log。 此日志详细介绍了复制的文件。 使用此开关可能会导致安装速度更慢。 |
请注意 ,可以将这些开关合并到一个命令中。 为了向后兼容,安全更新还支持早期版本的安装程序使用的许多安装开关。 有关支持的安装开关的详细信息,请参阅 Microsoft 知识库文章262841。 有关Update.exe安装程序的详细信息,请访问 Microsoft TechNet 网站。
部署信息
若要在不进行任何用户干预的情况下安装安全更新,请在命令提示符处使用以下命令获取相应的操作系统版本:
Windows Server 2003 和 Windows Server 2003 Service Pack 1:
Windowsserver2003-知识库(KB)903235-x86-ENU.exe/quiet
Windows Server 2003 x64 版本:
Windowsserver2003-知识库(KB)903235-x64-ENU.exe /quiet
Microsoft Windows XP Professional x64 版本:
WindowsXP-知识库(KB)903235-x64-ENU.exe /quiet
请注意 , 使用 /quiet 开关将禁止显示所有消息。 这包括禁止显示失败消息。 管理员istrators 应使用受支持的方法之一来验证安装在使用 /quiet 开关时是否成功。 使用此开关时,管理员istrators 还应查看知识库(KB)903235.log文件,了解任何故障消息。
有关如何使用软件更新服务部署此安全更新的信息,请访问 软件更新服务网站。 有关如何使用 Windows Server Update Services 部署此安全更新的信息,请访问 Windows Server Update Services 网站。 此安全更新也将通过 Microsoft 更新网站获得。
重启要求
此更新不需要重启。
删除信息
若要删除此更新,请使用控制面板中的“添加或删除程序”工具。
系统管理员还可以使用Spuninst.exe实用工具删除此安全更新。 Spuninst.exe实用工具位于 %Windir%\$NTUninstall知识库(KB)903235$\Spuninst 文件夹中。
| Switch | 说明 |
|---|---|
| /help | 显示命令行选项 |
| 设置模式 | |
| /passive | 无人参与安装模式。 无需用户交互,但显示安装状态。 如果在安装程序结束时需要重启,则会向用户显示一个对话框,并显示一个计时器警告,指出计算机将在 30 秒内重启。 |
| /quiet | 静默模式。 这与无人参与模式相同,但不会显示状态或错误消息。 |
| 重启选项 | |
| /norestart | 安装完成后不会重启 |
| /forcerestart | 安装后重启计算机,并强制其他应用程序在关闭时关闭,而无需先保存打开的文件。 |
| /warnrestart[:x] | 显示一个对话框,其中包含一个计时器警告用户计算机将在 x 秒内重启。 (默认设置为 30 秒。 适用于 /quiet 开关或 /passive 开关。 |
| /promptrestart | 显示一个对话框,提示本地用户允许重启 |
| 特殊选项 | |
| /forceappsclose | 强制在计算机关闭时关闭其他程序 |
| **/log:**path | 允许重定向安装日志文件 |
验证是否已应用更新
Microsoft 基准安全分析器
若要验证是否已将安全更新应用于受影响的系统,可以使用 Microsoft 基线安全分析器(MBSA)工具。 MBSA 允许管理员扫描本地和远程系统,查找缺少安全更新和常见安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基线安全分析器网站。
注册表项验证
还可以通过查看以下注册表项来验证此安全更新已安装的文件。
Windows Server 2003,Web 版本;Windows Server 2003,标准版;Windows Server 2003,企业版;Windows Server 2003,Datacenter Edition;Windows Small Business Server 2003;Windows Server 2003,SP1 Web 版本;Windows Server 2003,标准版 SP1;Windows Server 2003,企业版 SP1;Windows Server 2003 和带 SP1 的 Windows Server 2003 Datacenter Edition:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{03D9F3F2-B0E3-11D2-B081-006008039BF0}
Windows Server 2003,适用于基于 Itanium 的系统企业版;Windows Server 2003, Datacenter Edition for Itanium based Systems;Windows Server 2003,企业版 SP1,用于基于 Itanium 的系统;Windows Server 2003, Datacenter Edition for SP1 for Itanium based Systems;Windows Server 2003 标准 x64 版本;Windows Server 2003 企业版 x64 版;Windows Server 2003,Datacenter x64 版本;和 Microsoft Windows XP Professional x64 版本:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{03D9F3F2-B0E3-11D2-B081-006008039BF0}
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{03D9F3F2-B0E3-11D2-B081-006008039BF0}
适用于 Windows XP Service Pack 2 的 Internet Explorer 6
此更新的 先决条件要求 Windows XP Service Pack 2 上的 Internet Explorer 6。 有关详细信息,请参阅 Microsoft 知识库文章322389。
包含在将来的 Service Pack 中: 此问题的更新将包含在将来的 Service Pack 或更新汇总中。
安装信息
此安全更新支持以下设置开关。
| Switch | 说明 |
|---|---|
| /help | 显示命令行选项 |
| 设置模式 | |
| /passive | 无人参与安装模式。 无需用户交互,但显示安装状态。 如果在安装程序结束时需要重启,则会向用户显示一个对话框,并显示一个计时器警告,指出计算机将在 30 秒内重启。 |
| /quiet | 静默模式。 这与无人参与模式相同,但不会显示状态或错误消息。 |
| 重启选项 | |
| /norestart | 安装完成后不会重启 |
| /forcerestart | 安装后重启计算机,并强制其他应用程序在关闭时关闭,而无需先保存打开的文件。 |
| /warnrestart[:x] | 显示一个对话框,其中包含一个计时器警告用户计算机将在 x 秒内重启。 (默认设置为 30 秒。 适用于 /quiet 开关或 /passive 开关。 |
| /promptrestart | 显示一个对话框,提示本地用户允许重启 |
| 特殊选项 | |
| /overwriteoem | 在不提示的情况下覆盖 OEM 文件 |
| /nobackup | 不备份卸载所需的文件 |
| /forceappsclose | 强制在计算机关闭时关闭其他程序 |
| **/log:**path | 允许重定向安装日志文件 |
| **/integrate:**path | 将更新集成到 Windows 源文件中。 这些文件位于开关中指定的路径。 |
| /extract[:path] | 在不启动安装程序的情况下提取文件 |
| /二 | 启用扩展错误报告 |
| /verbose | 启用详细日志记录。 在安装过程中,创建 %Windir%\CabBuild.log。 此日志详细介绍了复制的文件。 使用此开关可能会导致安装速度更慢。 |
请注意 ,可以将这些开关合并到一个命令中。 为了向后兼容,安全更新还支持安装程序早期版本使用的安装开关。 有关支持的安装开关的详细信息,请参阅 Microsoft 知识库文章262841。 有关Update.exe安装程序的详细信息,请访问 Microsoft TechNet 网站。
部署信息
若要在不进行任何用户干预的情况下安装安全更新,请在 Windows XP Service Pack 2 的命令提示符处使用以下命令:
Windowsxp-kb903235-x86-ENU.exe /quiet
请注意 , 使用 /quiet 开关将禁止显示所有消息。 这包括禁止显示失败消息。 管理员istrators 应使用受支持的方法之一来验证安装在使用 /quiet 开关时是否成功。 使用此开关时,管理员istrators 还应查看知识库(KB)903235.log文件,了解任何故障消息。
有关如何使用软件更新服务部署此安全更新的信息,请访问 软件更新服务网站。 有关如何使用 Windows Server Update Services 部署此安全更新的信息,请访问 Windows Server Update Services 网站。 此安全更新也将通过 Microsoft 更新网站获得。
重启要求
此更新不需要重启。
删除信息
若要删除此安全更新,请使用控制面板中的“添加或删除程序”工具。
系统管理员还可以使用Spuninst.exe实用工具删除此安全更新。 Spuninst.exe实用工具位于 %Windir%\$NTUninstall知识库(KB)903235$\Spuninst 文件夹中。
| Switch | 说明 |
|---|---|
| /help | 显示命令行选项 |
| 设置模式 | |
| /passive | 无人参与安装模式。 无需用户交互,但显示安装状态。 如果在安装程序结束时需要重启,则会向用户显示一个对话框,并显示一个计时器警告,指出计算机将在 30 秒内重启。 |
| /quiet | 静默模式。 这与无人参与模式相同,但不会显示状态或错误消息。 |
| 重启选项 | |
| /norestart | 安装完成后不会重启 |
| /forcerestart | 安装后重启计算机,并强制其他应用程序在关闭时关闭,而无需先保存打开的文件。 |
| /warnrestart[:x] | 显示一个对话框,其中包含一个计时器警告用户计算机将在 x 秒内重启。 (默认设置为 30 秒。 适用于 /quiet 开关或 /passive 开关。 |
| /promptrestart | 显示一个对话框,提示本地用户允许重启 |
| 特殊选项 | |
| /forceappsclose | 强制在计算机关闭时关闭其他程序 |
| **/log:**path | 允许重定向安装日志文件 |
验证是否已应用更新
Microsoft 基准安全分析器
若要验证是否已将安全更新应用于受影响的系统,可以使用 Microsoft 基线安全分析器(MBSA)工具。 MBSA 允许管理员扫描本地和远程系统,查找缺少安全更新和常见安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基线安全分析器网站。
注册表项验证
还可以通过查看以下注册表项来验证此安全更新已安装的文件。
对于 Windows XP Home Edition Service Pack 2、Windows XP Professional Service Pack 2、Windows XP Tablet PC Edition 2005 和 Windows XP Media Center Edition 2005:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{03D9F3F2-B0E3-11D2-B081-006008039BF0}
适用于 Windows XP Service Pack 1 和 Windows 2000 Service Pack 4 的 Internet Explorer 6 Service Pack 1
若要 安装此更新的 Internet Explorer 6 Service Pack 1(SP1)版本,必须在以下 Windows 版本之一上运行 Internet Explorer 6 SP1(版本 6.00.2800.1106):
- Microsoft Windows 2000 Service Pack 4
- 使用 Windows 2000 Server Service Pack 4 (SP4) 运行的 Microsoft Small Business Server 2000 Service Pack 1a (SP1a) 或 Small Business Server 2000
- Microsoft Windows XP Service Pack 1
列出的软件已经过测试,以确定版本是否受到影响。 其他版本要么不再包含安全更新支持,要么可能不受影响。 若要确定产品和版本的支持生命周期,请访问Microsoft 支持部门生命周期网站。
有关如何获取最新 Service Pack 的详细信息,请参阅 Microsoft 知识库文章 260910。
包含在将来的 Service Pack 中: 此问题的更新可能包含在将来的更新汇总中。
安装信息
此更新使用 IExpress 安装程序技术。 有关 IExpress 的详细信息,请参阅 Microsoft 知识库文章197147。
此安全更新支持以下设置开关。
| Switch | 说明 |
|---|---|
| 设置模式 | |
| /q | 指定在提取文件时的静默模式或禁止提示。 |
| /q:u | 指定用户静默模式,该模式向用户显示一些对话框。 |
| /q:a | 指定管理员安静模式,该模式不向用户显示任何对话框。 |
| 重启选项 | |
| /r:n | 安装后从不重启计算机。 |
| /r:i | 如果需要重启,则提示用户重启计算机,但与 /q:a 一起使用时除外。 |
| /r:a | 安装完成后始终重新启动计算机。 |
| /r:s | 在安装后重启计算机,而不提示用户。 |
| 特殊选项 | |
| /t:<full path> | 指定用于提取文件的目标文件夹。 |
| /C | 在不安装文件的情况下提取文件。 如果未指定 /T:路径,系统会提示用户输入目标文件夹。 |
| /c:<Cmd> | 重写作者定义的安装命令。 指定 Setup .inf 或 .exe 文件的路径和名称。 |
请注意 ,这些开关不一定适用于所有更新。 如果交换机不可用,则需要该功能才能正确安装更新。 此外,不支持使用 /N:V 开关,并可能导致系统无法启动。 如果安装失败,则应咨询支持专业人员以了解安装失败的原因。
有关支持的安装开关的其他信息,请参阅 Microsoft 知识库文章197147。
部署信息
若要在不进行任何用户干预的情况下安装安全更新,请在 Windows XP Service Pack 1 的命令提示符处使用以下命令:
IE-知识库(KB)903235-x86-ENU.exe /q:a
有关如何使用软件更新服务部署此安全更新的信息,请访问 软件更新服务网站。 有关如何使用 Windows Server Update Services 部署此安全更新的信息,请访问 Windows Server Update Services 网站。 此安全更新也将通过 Microsoft 更新网站获得。
重启要求
此更新不需要重启。
删除信息
若要删除此安全更新,请使用控制面板中的“添加或删除程序”工具。
系统管理员可以使用Ieuninst.exe实用工具删除此更新。 此安全更新在 %Windir% 文件夹中安装Ieuninst.exe实用工具。 此实用工具支持以下设置开关:
| Switch | 说明 |
|---|---|
| /? | 显示命令行选项 |
| 设置模式 | |
| /q | 静默模式。 无需用户交互。 |
| 重启选项 | |
| /Z | 安装完成后不会重启。 |
例如,若要悄然删除此更新,请使用以下命令:
c:\windows\ieuninst /q c:\windows\inf\q903235.inf
请注意 ,此命令假定 Windows 安装在 C:\Windows 文件夹中。
验证是否已应用更新
Microsoft 基准安全分析器
若要验证是否已将安全更新应用于受影响的系统,可以使用 Microsoft 基线安全分析器(MBSA)工具。 MBSA 允许管理员扫描本地和远程系统,查找缺少安全更新和常见安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基线安全分析器网站。
注册表项验证
还可以通过查看以下注册表项来验证此安全更新是否已安装的文件。
对于 Windows XP Home Edition Service Pack 1、Windows XP Professional Service Pack 1、Windows XP Tablet PC Edition、Windows XP Media Center Edition、Windows 2000 Service Pack 4 和 Small Business Server 2000:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{03D9F3F2-B0E3-11D2-B081-006008039BF0}
适用于 Windows 2000 Service Pack 4 的 Internet Explorer 5.01
若要 安装此更新的 Internet Explorer 5.01 版本,必须在 Windows 2000(所有版本)上运行 Internet Explorer 5.01 Service Pack 4(版本 5.00.3700.1000)。
对于 Small Business Server 2000,此安全更新要求使用 Windows 2000 Server Service Pack 4(SP4)运行的 Small Business Server 2000 Service Pack 1a(SP1a)或 Small Business Server 2000。
请注意 ,本文中未列出的 Windows 版本和 Internet Explorer 版本不再受支持。 尽管可以在这些未列出的 Windows 和 Internet Explorer 版本上安装本文中所述的一些更新包,但 Microsoft 尚未对其进行测试,以评估它们是否受这些漏洞的影响。 Microsoft 还未测试这些版本,以确认此公告描述的更新解决了这些漏洞。 建议升级到受支持的 Windows 版本和 Internet Explorer,然后安装相应的更新。
列出的软件已经过测试,以确定版本是否受到影响。 其他版本要么不再包含安全更新支持,要么可能不受影响。 若要确定产品和版本的支持生命周期,请访问Microsoft 支持部门生命周期网站。
有关如何获取最新 Service Pack 的详细信息,请参阅 Microsoft 知识库文章 260910。
包含在将来的 Service Pack 中: 此问题的更新可能包含在将来的更新汇总中。
安装信息
此更新使用 IExpress 安装程序技术。 有关 IExpress 的详细信息,请参阅 Microsoft 知识库文章197147。
此安全更新支持以下设置开关。
| Switch | 说明 |
|---|---|
| 设置模式 | |
| /q | 指定在提取文件时的静默模式或禁止提示。 |
| /q:u | 指定用户静默模式,该模式向用户显示一些对话框。 |
| /q:a | 指定管理员安静模式,该模式不向用户显示任何对话框。 |
| 重启选项 | |
| /r:n | 安装后从不重启计算机。 |
| /r:i | 如果需要重启,则提示用户重启计算机,但与 /q:a 一起使用时除外。 |
| /r:a | 安装完成后始终重新启动计算机。 |
| /r:s | 在安装后重启计算机,而不提示用户。 |
| 特殊选项 | |
| /t:<full path> | 指定用于提取文件的目标文件夹。 |
| /C | 在不安装文件的情况下提取文件。 如果未指定 /T:路径,系统会提示用户输入目标文件夹。 |
| /c:<Cmd> | 重写作者定义的安装命令。 指定 Setup .inf 或 .exe 文件的路径和名称。 |
请注意 ,这些开关不一定适用于所有更新。 如果交换机不可用,则需要该功能才能正确安装更新。 此外,不支持使用 /N:V 开关,并可能导致系统无法启动。 如果安装失败,则应咨询支持专业人员以了解安装失败的原因。
有关支持的安装开关的其他信息,请参阅 Microsoft 知识库文章197147。
部署信息
若要在不进行任何用户干预的情况下安装安全更新,请在 Windows 2000 Service Pack 4 的命令提示符处使用以下命令:
IE-知识库(KB)903235-x86-ENU.exe /q:a
有关如何使用软件更新服务部署此安全更新的信息,请访问 软件更新服务网站。 有关如何使用 Windows Server Update Services 部署此安全更新的信息,请访问 Windows Server Update Services 网站。 此安全更新也将通过 Microsoft 更新网站获得。
重启要求
此更新不需要重启。
删除信息
若要删除此安全更新,请使用控制面板中的“添加或删除程序”工具。
系统管理员可以使用Ieuninst.exe实用工具删除此更新。 此安全更新在 %Windir% 文件夹中安装Ieuninst.exe实用工具。 此实用工具支持以下设置开关:
| Switch | 说明 |
|---|---|
| /? | 显示命令行选项 |
| 设置模式 | |
| /q | 静默模式。 无需用户交互。 |
| 重启选项 | |
| /Z | 安装完成后不会重启。 |
例如,若要悄然删除此更新,请使用以下命令:
c:\windows\ieuninst /q c:\windows\inf\q903235.inf
请注意 ,此命令假定 Windows 安装在 C:\Windows 文件夹中。
验证是否已应用更新
- Microsoft 基准安全分析器
若要验证是否已将安全更新应用于受影响的系统,可以使用 Microsoft 基线安全分析器(MBSA)工具。 MBSA 允许管理员扫描本地和远程系统,查找缺少安全更新和常见安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基线安全分析器网站。
- 注册表项验证
还可以通过查看以下注册表项来验证此安全更新已安装的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{03D9F3F2-B0E3-11D2-B081-006008039BF0}
其他信息
获取其他安全汇报:
以下位置提供了其他安全问题汇报:
支持:
- 美国和加拿大的客户可以在 1-866-PCSAFETY 接受 Microsoft 产品支持服务的 技术支持。 对于与安全更新关联的支持调用,不收取任何费用。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 不支持与安全更新关联的支持。 有关如何联系 Microsoft 获取支持问题的详细信息,请访问 国际支持网站。
安全资源:
- Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
- Microsoft 软件更新服务
- Microsoft 基线安全分析器 (MBSA)
- Windows 更新
- Microsoft Update
- Windows 更新目录:有关Windows 更新目录的详细信息,请参阅 Microsoft 知识库文章323166。
- 办公室更新
软件更新服务:
通过使用 Microsoft 软件更新服务(SUS),管理员可以快速可靠地将最新的关键更新和安全更新部署到基于 Windows 2000 和 Windows Server 2003 的服务器,以及运行 Windows 2000 Professional 或 Windows XP Professional 的桌面系统。
有关如何使用软件更新服务部署此安全更新的详细信息,请访问 软件更新服务网站。
Windows Server Update Services:
通过使用 Windows Server Update Services (WSUS),管理员可以快速可靠地部署 Windows 2000 操作系统及更高版本的最新关键更新和安全更新,办公室 XP 及更高版本、Exchange Server 2003 和 SQL Server 2000 到 Windows 2000 及更高版本的操作系统。
有关如何使用 Windows Server Update Services 部署此安全更新的详细信息,请访问 Windows Server Update Services 网站。
系统管理服务器:
Microsoft Systems Management Server (SMS) 提供高度可配置的企业解决方案来管理更新。 通过使用 SMS,管理员可以识别需要安全更新的基于 Windows 的系统,并且可以在整个企业中执行这些更新的受控部署,同时对最终用户造成最小中断。 有关如何使用 SMS 2003 部署安全更新的详细信息,请访问 SMS 2003 安全修补程序管理网站。 SMS 2.0 用户也可以使用软件汇报服务功能包来帮助部署安全更新。 有关短信的信息,请访问 SMS 网站。
注意 SMS 使用 Microsoft 基线安全分析器、Microsoft 办公室检测工具和企业更新扫描工具为安全公告更新检测和部署提供广泛的支持。 这些工具可能无法检测到某些软件更新。 管理员管理员可以使用 SMS 的清单功能,在这些情况下以特定系统的更新为目标。 有关此过程的详细信息,请访问以下 网站。 某些安全更新要求在重启系统后拥有管理权限。 管理员istrators 可以使用提升的权限部署工具(在 SMS 2003 管理员istration 功能包和 SMS 2.0 管理员istration 功能包中提供)来安装这些更新。
免责声明:
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- V1.0(2005 年 7 月 12 日):已发布公告
- V1.1(2005 年 7 月 20 日):在 JView Profiler 常见问题解答中添加了有关如何检测计算机上Javaprxy.dll的部分。 更新了“安全更新”部分中的游戏,以反映所有受支持的 Windows 2000 版本。
生成于 2014-04-18T13:49:36Z-07:00