Security Bulletin
Microsoft Security Bulletin MS13-029 - 重大
遠端桌面用戶端中的資訊安全風險可能會允許遠端執行程式碼 (2828223)
發行: 2013年4月9日 | 更新: 2013年7月3日
版本: 2.0
一般資訊
提要
這個資訊安全更新可解決 Windows 遠端桌面用戶端中一項未公開報告的資訊安全風險。如果使用者檢視蓄意製作的網頁,此資訊安全風險可能會允許遠端執行程式碼。成功利用此資訊安全風險的攻擊者可以取得與目前使用者相同的使用者權限。系統上帳戶使用者權限較低的使用者,其受影響的程度比擁有系統管理權限的使用者要小。
對於 Windows XP、Windows Vista 和 Windows 7 上的遠端桌面連線 6.1 用戶端、遠端桌面連線 7.0 用戶端和遠端桌面連線 7.1 用戶端,此資訊安全更新的等級為「重大」。對於 Windows Server 2003、Windows Server 2008 和 Windows Server 2008 R2 上的遠端桌面連線 6.1 用戶端、遠端桌面連線 7.0 用戶端和遠端桌面連線 7.1 用戶端,此資訊安全更新的等級則為「中度」。如需更多資訊,請參閱本節的<受影響及不受影響的軟體>小節。
此資訊安全更新可修改遠端桌面用戶端處理記憶體中物件的方式,進而解決此資訊安全風險。如需更多有關此資訊安全風險的資訊,請參閱下節<資訊安全風險資訊>下的特定資訊安全風險項目的<常見問題集 (FAQ)>小節。
建議。 大部分客戶都已啟用自動更新,並且不必須採取任何行動,因為資訊安全更新將自動下載和安裝。沒有啟用自動更新的客戶則必須檢查更新,並手動安裝更新。如需有關自動更新中特定設定選項的資訊,請參閱 Microsoft 知識庫文件編號 294871。
若是系統管理員和企業安裝,或是想要手動安裝此資訊安全更新的使用者,Microsoft 建議客戶使用更新管理軟體,立即套用更新,或使用 Microsoft Update 服務檢查更新。
另請參閱本公告下文的<偵測與部署工具及指南>一節。
知識庫文件
| 知識庫文件 | 2828223 |
|---|---|
| 檔案資訊 | 是 |
| SHA1/SHA2 雜湊 | 是 |
| 已知問題 | 無 |
受影響及不受影響的軟體
下列軟體已經過測試判斷哪些版號或版本會受到影響。其他版本超過它們的支援週期或不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站。
受影響的軟體
| 作業系統 | 元件 | 最大資訊安全影響 | 彙總嚴重性等級 | 已取代更新 |
|---|---|---|---|---|
| Windows XP | ||||
| Windows XP Service Pack 3 | [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/download/details.aspx?familyid=353812de-b1eb-4245-82e3-7829cb72bba3) (2813345) | 遠端執行程式碼 | 重大 | [MS09-044](https://go.microsoft.com/fwlink/?linkid=157861) 中的 956744 |
| Windows XP Service Pack 3 | [遠端桌面連線 7.0 用戶端](https://www.microsoft.com/download/details.aspx?familyid=1754fdde-4744-4783-b6d3-e38eb2874b58) (2813347) | 遠端執行程式碼 | 重大 | [MS11-017](https://go.microsoft.com/fwlink/?linkid=207892) 中的 2483614 |
| Windows XP Professional x64 Edition Service Pack 2 | [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/download/details.aspx?familyid=f413845a-84e0-48d9-b5bc-56a37109ab33) (2813345) | 遠端執行程式碼 | 重大 | 無 |
| Windows Server 2003 | ||||
| Windows Server 2003 Service Pack 2 | [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/download/details.aspx?familyid=75b00750-80c3-4ffa-adbf-5f40a41309b9) (2813345) | 遠端執行程式碼 | 中度 | 無 |
| Windows Server 2003 x64 Edition Service Pack 2 | [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/download/details.aspx?familyid=7efb8816-ca23-4a75-a0cc-53a663eac3a9) (2813345) | 遠端執行程式碼 | 中度 | 無 |
| Windows Vista | ||||
| Windows Vista Service Pack 2 | 英文下載更新程式 [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/download/details.aspx?familyid=20500712-2c0f-41e2-95a8-db1a5dcf717a) (2813345) 中文下載更新程式 [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=20500712-2c0f-41e2-95a8-db1a5dcf717a) (2813345) | 遠端執行程式碼 | 重大 | [MS09-044](https://go.microsoft.com/fwlink/?linkid=157861) 中的 956744 |
| Windows Vista Service Pack 2 | 英文下載更新程式 [遠端桌面連線 7.0 用戶端](https://www.microsoft.com/download/details.aspx?familyid=1bf2935a-2fa4-4a26-bccf-fe0b63a16b37) (2813347) 中文下載更新程式 [遠端桌面連線 7.0 用戶端](https://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=1bf2935a-2fa4-4a26-bccf-fe0b63a16b37) (2813347) | 遠端執行程式碼 | 重大 | 無 |
| Windows Vista x64 Edition Service Pack 2 | 英文下載更新程式 [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/download/details.aspx?familyid=4c6f006c-fcb8-499f-bd91-9c8acb3ec3c3) (2813345) 中文下載更新程式 [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=4c6f006c-fcb8-499f-bd91-9c8acb3ec3c3) (2813345) | 遠端執行程式碼 | 重大 | [MS09-044](https://go.microsoft.com/fwlink/?linkid=157861) 中的 956744 |
| Windows Vista x64 Edition Service Pack 2 | 英文下載更新程式 [遠端桌面連線 7.0 用戶端](https://www.microsoft.com/download/details.aspx?familyid=201eb194-e7c9-479c-bb03-646b22f2bbd1) (2813347) 中文下載更新程式 [遠端桌面連線 7.0 用戶端](https://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=201eb194-e7c9-479c-bb03-646b22f2bbd1) (2813347) | 遠端執行程式碼 | 重大 | 無 |
| Windows Server 2008 | ||||
| 適用於 32 位元系統的 Windows Server 2008 Service Pack 2 | 英文下載更新程式 [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/download/details.aspx?familyid=92bd1819-46f9-4a9b-bf2b-ea6aaaee9890) (2813345) 中文下載更新程式 [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=92bd1819-46f9-4a9b-bf2b-ea6aaaee9890) (2813345) | 遠端執行程式碼 | 中度 | [MS09-044](https://go.microsoft.com/fwlink/?linkid=157861) 中的 956744 |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 | 英文下載更新程式 [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/download/details.aspx?familyid=6518cdc6-10a6-46ed-a2f6-6f58216fe319) (2813345) 中文下載更新程式 [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=6518cdc6-10a6-46ed-a2f6-6f58216fe319) (2813345) | 遠端執行程式碼 | 中度 | [MS09-044](https://go.microsoft.com/fwlink/?linkid=157861) 中的 956744 |
| 適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 | 英文下載更新程式 [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/download/details.aspx?familyid=4807c3fe-bc54-4db6-a9b0-ee21bdd9820f) (2813345) 中文下載更新程式 [遠端桌面連線 6.1 用戶端](https://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=4807c3fe-bc54-4db6-a9b0-ee21bdd9820f) (2813345) | 遠端執行程式碼 | 中度 | [MS09-044](https://go.microsoft.com/fwlink/?linkid=157861) 中的 956744 |
| Windows 7 | ||||
| 適用於 32 位元系統的 Windows 7 | 英文下載更新程式 [遠端桌面連線 7.0 用戶端](https://www.microsoft.com/download/details.aspx?familyid=d7623f17-783d-431a-8274-17d71df72202) (2813347) 中文下載更新程式 [遠端桌面連線 7.0 用戶端](https://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=d7623f17-783d-431a-8274-17d71df72202) (2813347) | 遠端執行程式碼 | 重大 | 無 |
| 適用於 32 位元系統的 Windows 7 Service Pack 1 | 英文下載更新程式 [遠端桌面連線 7.1 用戶端](https://www.microsoft.com/download/details.aspx?familyid=d7623f17-783d-431a-8274-17d71df72202) (2813347) 中文下載更新程式 [遠端桌面連線 7.1 用戶端](https://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=d7623f17-783d-431a-8274-17d71df72202) (2813347) | 遠端執行程式碼 | 重大 | 無 |
| 適用於 x64 型系統的 Windows 7 | 英文下載更新程式 [遠端桌面連線 7.0 用戶端](https://www.microsoft.com/download/details.aspx?familyid=5595efaa-3d57-4c9a-8b53-7cfa06093f1e) (2813347) 中文下載更新程式 [遠端桌面連線 7.0 用戶端](https://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=5595efaa-3d57-4c9a-8b53-7cfa06093f1e) (2813347) | 遠端執行程式碼 | 重大 | 無 |
| 適用於 x64 型系統的 Windows 7 Service Pack 1 | 英文下載更新程式 [遠端桌面連線 7.1 用戶端](https://www.microsoft.com/download/details.aspx?familyid=5595efaa-3d57-4c9a-8b53-7cfa06093f1e) (2813347) 中文下載更新程式 [遠端桌面連線 7.1 用戶端](https://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=5595efaa-3d57-4c9a-8b53-7cfa06093f1e) (2813347) | 遠端執行程式碼 | 重大 | 無 |
| Windows Server 2008 R2 | ||||
| 適用於 x64 型系統的 Windows Server 2008 R2 | 英文下載更新程式 [遠端桌面連線 7.0 用戶端](https://www.microsoft.com/download/details.aspx?familyid=79c870b9-b800-4f59-a5ea-19a5c890af52) (2813347) 中文下載更新程式 [遠端桌面連線 7.0 用戶端 (2813347)](https://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=79c870b9-b800-4f59-a5ea-19a5c890af52) | 遠端執行程式碼 | 中度 | 無 |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 | 英文下載更新程式 [遠端桌面連線 7.1 用戶端](https://www.microsoft.com/download/details.aspx?familyid=79c870b9-b800-4f59-a5ea-19a5c890af52) (2813347) 中文下載更新程式 [遠端桌面連線 7.1 用戶端](https://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=79c870b9-b800-4f59-a5ea-19a5c890af52) (2813347) | 遠端執行程式碼 | 中度 | 無 |
| 適用於 Itanium 型系統的 Windows Server 2008 R2 | [遠端桌面連線 7.0 用戶端](https://www.microsoft.com/download/details.aspx?familyid=c7047403-8c2a-42de-bea5-d7354847730a) (2813347) | 遠端執行程式碼 | 中度 | 無 |
| 適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1 | [遠端桌面連線 7.1 用戶端](https://www.microsoft.com/download/details.aspx?familyid=c7047403-8c2a-42de-bea5-d7354847730a) (2813347) | 遠端執行程式碼 | 中度 | 無 |
不受影響的軟體
| 作業系統 | 元件 |
|---|---|
| 適用於 32 位元系統的 Windows 7 Service Pack 1 | 遠端桌面連線 8.0 用戶端 |
| 適用於 x64 型系統的 Windows 7 Service Pack 1 | 遠端桌面連線 8.0 用戶端 |
| 適用於 32 位元系統的 Windows 8 | 遠端桌面連線 8.0 用戶端 |
| 適用於 64 位元系統的 Windows 8 | 遠端桌面連線 8.0 用戶端 |
| Windows Server 2012 | 遠端桌面連線 8.0 用戶端 |
| Windows RT | 不適用 |
| Server Core 安裝選項 | |
| 適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) | 不適用 |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) | 不適用 |
| 適用於 x64 型系統的 Windows Server 2008 R2 (Server Core 安裝) | 不適用 |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) | 不適用 |
| Windows Server 2012 (Server Core 安裝) | 不適用 |
為何於 2013 年 6 月 25 日修訂此公告? Microsoft 修訂此公告的目的是針對 Windows XP Service Pack 3 上的遠端桌面連線 7.0 用戶端發行 2813347 更新。重新發行的更新可解決原始更新所造成的問題 (原本會誤將更新重新提供給以特定設定執行的系統)。Microsoft 建議使用受影響軟體的客戶立即套用這項重新發行的資訊安全更新。
此公告中指出的資訊安全風險如何影響 Server Core 安裝? 支援版本的 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 若是使用 Server Core 安裝選項所安裝,便不受本更新所解決的資訊安全風險影響,如「不受影響的軟體」表中所述。如需此安裝選項的詳細資訊,請參閱下列 TechNet 文章:管理 Server Core 安裝: 概觀、維護 Server Core 安裝,以及 Server Core 與 Full Server 整合概觀 (以上皆為英文)。
我所使用的軟體是此資訊安全公告中討論的軟體之舊版。該怎麼辦? 本公告所列出的受影響軟體版本已經過測試判斷哪些版本會受到影響。其他版本超出它們的支援週期。如需瞭解產品生命週期的更多資訊,請參閱 Microsoft 支援週期網站。
使用此軟體舊版的客戶應優先考慮移轉至支援的版本,以避免因潛在的資訊安全風險而遭受攻擊。若要瞭解您的軟體版本的支援週期,請參閱選擇一個產品檢視其支援週期資訊。如需更多關於上述軟體版本的 Service Pack 的資訊,請參閱 Service Pack 週期支援政策。
需要舊版軟體額外支援服務的客戶,請連絡 Microsoft 客戶小組人員、技術支援經理或適當的 Microsoft 協力廠商,以取得所需的額外支援。尚未簽訂聯盟、優先或授權合約的客戶,可以連絡當地的 Microsoft 銷售辦公室。如需連絡資訊,請參閱 Microsoft 全球資訊網站,在 [Contact Information] (連絡資訊) 清單中選擇國家,然後按一下 [Go] (前往) 查看各地的連絡電話號碼。連絡時,請指明要連絡當地優先支援服務行銷經理。如需更多資訊,請參閱 Microsoft 技術支援週期準則常見問答集。
資訊安全風險資訊
嚴重性等級和資訊安全風險識別碼
下列嚴重性等級是假設資訊安全風險可能造成的最嚴重影響而評定。在本資訊安全公告發行的 30 天內,如需資訊安全風險之易遭利用性與嚴重性等級和資訊安全影響之間對應關係的資訊,請參閱 4 月份公告摘要中的<資訊安全風險索引>。如需更多資訊,請參閱 Microsoft 資訊安全風險入侵指數。
| 受影響的軟體 | RDP ActiveX 控制項的遠端執行程式碼資訊安全風險 - CVE-2013-1296 | 彙總嚴重性等級 |
|---|---|---|
| Windows XP | ||
| Windows XP Service Pack 3 上的遠端桌面連線 6.1 用戶端 (2813345) | **重大** 遠端執行程式碼 | **重大** |
| Windows XP Service Pack 3 上的遠端桌面連線 7.0 用戶端 (2813347) | **重大** 遠端執行程式碼 | **重大** |
| Windows XP Professional x64 Edition Service Pack 2 上的遠端桌面連線 6.1 用戶端 (2813345) | **重大** 遠端執行程式碼 | **重大** |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 上的遠端桌面連線 6.1 用戶端 (2813345) | **中度** 遠端執行程式碼 | **中度** |
| Windows Server 2003 x64 Edition Service Pack 2 上的遠端桌面連線 6.1 用戶端 (2813345) | **中度** 遠端執行程式碼 | **中度** |
| Windows Vista | ||
| Windows Vista Service Pack 2 上的遠端桌面連線 6.1 用戶端 (2813345) | **重大** 遠端執行程式碼 | **重大** |
| Windows Vista Service Pack 2 上的遠端桌面連線 7.0 用戶端 (2813347) | **重大** 遠端執行程式碼 | **重大** |
| Windows Vista x64 Edition Service Pack 2 上的遠端桌面連線 6.1 用戶端 (2813345) | **重大** 遠端執行程式碼 | **重大** |
| Windows Vista x64 Edition Service Pack 2 上的遠端桌面連線 7.0 用戶端 (2813347) | **重大** 遠端執行程式碼 | **重大** |
| Windows Server 2008 | ||
| 適用於 32 位元系統的 Windows Server 2008 Service Pack 2 上的遠端桌面連線 6.1 用戶端 (2813345) | **中度** 遠端執行程式碼 | **中度** |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 上的遠端桌面連線 6.1 用戶端 (2813345) | **中度** 遠端執行程式碼 | **中度** |
| 適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 上的遠端桌面連線 6.1 用戶端 (2813345) | **中度** 遠端執行程式碼 | **中度** |
| Windows 7 | ||
| 適用於 32 位元系統的 Windows 7 上的遠端桌面連線 7.0 用戶端 (2813347) | **重大** 遠端執行程式碼 | **重大** |
| 適用於 32 位元系統的 Windows 7 Service Pack 1 上的遠端桌面連線 7.1 用戶端 (2813347) | **重大** 遠端執行程式碼 | **重大** |
| 適用於 x64 型系統的 Windows 7 上的遠端桌面連線 7.0 用戶端 (2813347) | **重大** 遠端執行程式碼 | **重大** |
| 適用於 x64 系統的 Windows 7 Service Pack 1 上的遠端桌面連線 7.1 用戶端 (2813347) | **重大** 遠端執行程式碼 | **重大** |
| Windows Server 2008 R2 | ||
| 適用於 x64 型系統的 Windows Server 2008 R2 上的遠端桌面連線 7.0 用戶端 (2813347) | **中度** 遠端執行程式碼 | **中度** |
| 適用於 x64 系統的 Windows Server 2008 R2 Service Pack 1 上的遠端桌面連線 7.1 用戶端 (2813347) | **中度** 遠端執行程式碼 | **中度** |
| 適用於 Itanium 型系統的 Windows Server 2008 R2 上的遠端桌面連線 7.0 用戶端 (2813347) | **中度** 遠端執行程式碼 | **中度** |
| 適用於 Itanium 系統的 Windows Server 2008 R2 Service Pack 1 上的遠端桌面連線 7.1 用戶端 (2813347) | **中度** 遠端執行程式碼 | **中度** |
RDP ActiveX 控制項的遠端執行程式碼資訊安全風險 - CVE-2013-1296
當遠端桌面 ActiveX 控制項 mstscax.dll 嘗試存取記憶體中已刪除的物件時,存在遠端執行程式碼的資訊安全風險。攻擊者可引誘使用者造訪蓄意製作的網頁,以利用這項資訊安全風險。成功利用此資訊安全風險的攻擊者可以取得與登入使用者相同的使用者權限。
若要以一般性資訊安全風險清單中的標準項目來檢視此資訊安全風險,請參閱 CVE-2013-1296 (英文)。
緩和因素
緩和因素是指存在於預設狀態中的設定、共用設定或一般最佳作法,可能會減少資訊安全風險影響的嚴重性。下列緩和因素可能對您的狀況有所助益:
- 系統上帳戶使用者權限較低的使用者,其受影響的程度比擁有系統管理權限的使用者要小。
- 依照預設,Windows Server 2003、Windows Server 2008 和 Windows Server 2008 R2 上的 Internet Explorer 會以稱為增強式資訊安全設定的受限制模式執行。此模式可緩和此資訊安全風險。如需更多資訊,請參閱此資訊安全風險<常見問題集>關於 Internet Explorer 增強式資訊安全設定的部份。
因應措施
因應措施指的是無法徹底修正資訊安全風險,但有助於在套用更新之前封鎖已知攻擊模式的設定變更。Microsoft 測試了下列因應措施和狀態,討論因應措施是否會降低功能:
限制存取 mstscax.dll
**注意:**您必須是系統管理員才能使用這些命令。
Windows XP 和 Windows Server 2003
從已提高權限的命令提示字元執行下列命令:
cacls %windir%\system32\mstscax.dll /E /P everyone:Ncacls %windir%\sysWOW64\mstscax.dll /E /P everyone:NWindows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2
從已提高權限的命令提示字元執行下列命令:
takeown /F %windir%\system32\mstscax.dllcacls %windir%\system32\mstscax.dll /E /P everyone:Ntakeown /F %windir%\SysWOW64\mstscax.dllcacls %windir%\SysWOW64\mstscax.dll /E /P everyone:Nfor /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\mstscax.dll') DO takeown /F %G && cacls %G /E /P everyone:N**因應措施的影響。**在執行這些步驟之後,您將無法進行遠端桌面輸出連線。
如何復原因應措施
**注意:**您必須是系統管理員才能使用這些命令。
Windows XP 和 Windows Server 2003
從已提高權限的命令提示字元執行下列命令:
cacls %windir%\system32\mstscax.dll /E /R everyonecacls %windir%\SysWOW64\mstscax.dll /E /R everyoneWindows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2
從已提高權限的命令提示字元執行下列命令:
cacls %windir%\system32\mstscax.dll /E /R everyonecacls %windir%\SysWOW64\mstscax.dll /E /R everyonefor /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\mstscax.dll') DO cacls %G /E /R everyone避免在 Internet Explorer 中執行 Remote Desktop Connection ActiveX 控制項
您可以在登錄中設定控制項的 Kill Bit (刪除位元),禁止嘗試在 Internet Explorer 中產生 COM 物件。
**注意:**這個因應措施雖然可防止透過網頁型攻擊模式而進行的資訊安全風險利用,但是並不能保護使用者防範以手動方式起始與惡意 RDP 伺服器的連線。
**警告:**如果使用「登錄編輯程式」的方式錯誤,可能造成嚴重問題,以致於您必須重新安裝作業系統。Microsoft 無法保證您可以解決因為不正確使用 [登錄編輯程式] 所造成的問題。請自行承擔使用 [登錄編輯程式] 的風險。
如需避免 ActiveX 控制項在 Internet Explorer 中執行的詳細步驟,請參閱 Microsoft 知識庫文件編號 240797。
按照步驟,在登錄中建立 Compatibility Flags 值,以避免在 Internet Explorer 中產生 COM 物件。
建立名稱為 Disable_Remote_Desktop_ActiveX.reg 的文字檔,且要包含下列內容:
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9059f30f-4eb1-4bd2-9fdc-36f43a218f4a}] "Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{9059f30f-4eb1-4bd2-9fdc-36f43a218f4a}]"Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{971127BB-259F-48c2-BD75-5F97A3331551}] "Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{971127BB-259F-48c2-BD75-5F97A3331551}]"Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7584c670-2274-4efb-b00b-d6aaba6d3850}] "Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{7584c670-2274-4efb-b00b-d6aaba6d3850}]"Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6A6F4B83-45C5-4ca9-BDD9-0D81C12295E4}] "Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{6A6F4B83-45C5-4ca9-BDD9-0D81C12295E4}]"Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4EDCB26C-D24C-4e72-AF07-B576699AC0DE}] "Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{4EDCB26C-D24C-4e72-AF07-B576699AC0DE}]"Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{54CE37E0-9834-41ae-9896-4DAB69DC022B}] "Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{54CE37E0-9834-41ae-9896-4DAB69DC022B}]"Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4eb89ff4-7f78-4a0f-8b8d-2bf02e94e4b2}] "Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{4eb89ff4-7f78-4a0f-8b8d-2bf02e94e4b2}]"Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7390f3d8-0439-4c05-91e3-cf5cb290c3d0}] "Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{7390f3d8-0439-4c05-91e3-cf5cb290c3d0}]"Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{a9d7038d-b5ed-472e-9c47-94bea90a5910}] "Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{a9d7038d-b5ed-472e-9c47-94bea90a5910}]"Compatibility Flags"=dword:00000400按兩下,將此 .reg 檔案套用到個別的系統上。您也可以使用群組原則,跨網域將之套用到其他系統上。如需更多關於「群組原則」的資訊,請參閱 TechNet 文章:
**注意:**您必須重新啟動 Internet Explorer,才能讓變更產生效用。
**因應措施的影響。**使用者無法從網頁內部啟動遠端桌面連線。
**如何復原因應措施。**刪除先前實作此因應措施所新增的登錄機碼。
將 [網際網路] 及 [近端內部網路] 安全性區域設定為 [高],可封鎖這些區域中的 ActiveX 控制項及動態指令碼處理
只要將網際網路安全性區域設定變更為封鎖 ActiveX 控制項及動態指令碼處理,即可防範此資訊安全風險遭到利用。做法是將瀏覽器的資訊安全設定為 [高]。
若要在 Internet Explorer 中提高瀏覽器的安全層級,請執行下列步驟:
- 在 Internet Explorer 的 [工具] 功能表,按一下 [網際網路選項]。
- 在 [網際網路選項] 對話方塊中,按一下 [安全性] 索引標籤,再按 [網際網路] 圖示。
- 在 [此區域的安全性等級] 下方,將滑桿移至 [高]。如此即可將您所造訪的所有網站都設定為 [高] 安全層級。
**注意:**如果沒有顯示滑桿,按一下 [預設等級],再將滑桿移至 [高]。
**注意:**設定為 [高] 安全性層級可能會使部分網站無法正確運作。如果變更這項設定之後,您在使用網站時遇到問題,而又確定該網站安全無虞能放心使用,便可將該網站加入信任的網站清單中。如此一來,即使採用 [高] 設定,該網站仍可正確運作。
**因應措施的影響。**封鎖 ActiveX 控制項和動態指令碼處理會產生副作用。許多網際網路及內部網路的網站使用 ActiveX 或動態指令碼提供額外的功能。例如,線上電子商務網站或銀行網站會利用 ActiveX 控制項提供功能表、訂單、甚至是帳戶明細。封鎖 ActiveX 控制項或動態指令碼處理是一種通用設定,該設定會影響所有網際網路及內部網路網站。如果您不希望封鎖這些網站的 ActiveX 控制項或動態指令碼處理,請使用「將信任的網站加入 Internet Explorer [信任的網站] 區域」的步驟。
將信任的網站加入 Internet Explorer [信任的網站] 區域。
當您完成設定,使 Internet Explorer 在網際網路區域及近端內部網路區域封鎖 ActiveX 控制項及動態指令碼處理之後,即可將信任的網站加入 Internet Explorer [信任的網站] 區域。之後您就可以依照平時習慣使用信任的網站,同時預防不信任網站的這類攻擊。我們建議您只將信任的網站加入 [信任的網站] 區域。
若要如此做,請執行下列步驟:
- 在 Internet Explorer 中,依序按一下 [工具] 及 [網際網路選項],然後按一下 [安全性] 索引標籤。
- 在 [請選擇網頁內容區域來指定它的資訊安全設定] 方塊中,按一下 [信任的網站],然後按一下 [網站]。
- 如果您要加入的網站不需要加密通道,請按一下滑鼠清除 [此區域內的所有網站 需要伺服器驗證 (https:)] 核取方塊。
- 在 [將這個網站新增到區域] 方塊中,鍵入信任網站的 URL,然後按一下 [新增]。
- 為每一個要加入此區域的網站重複以上步驟。
- 按兩次 [確定] 接受所有變更,回到 Internet Explorer。
**注意:**您可以加入任何您相信不會對您的系統進行惡意動作的網站。建議您加入 *.windowsupdate.microsoft.com 與 *.update.microsoft.com 這兩個網站。這些網站提供各項更新,並需要 ActiveX 控制項才能安裝更新。
常見問題集
此資訊安全風險的範圍為何?
這是遠端執行程式碼的資訊安全風險。
造成此資訊安全風險的原因為何?
當 Microsoft 遠端桌面 ActiveX 控制項嘗試存取記憶體中已釋放的物件時,可能會允許攻擊者以目前使用者的權限等級執行任意程式碼,從而造成記憶體可能損毀的資訊安全風險。
什麼是 Microsoft 遠端桌面 ActiveX 控制項?
「遠端桌面控制項」物件是一個可用於自訂「遠端桌面服務」使用者體驗的 Microsoft ActiveX 控制項。如需詳細資訊,請參閱遠端桌面 ActiveX 控制項 (Windows) (英文)。
攻擊者可能會利用此資訊安全風險採取什麼行動?
成功利用此資訊安全風險的攻擊者可以取得與目前使用者相同的使用者權限。如果使目前用者以系統管理的使用者權限登入,成功利用此資訊安全風險的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。
攻擊者如何利用此資訊安全風險?
攻擊者可以針對這個資訊安全風險來設計並架設蓄意製作的網站,然後引誘使用者檢視該網站。攻擊者也可能利用受侵害的網站,以及接受或裝載使用者提供內容或廣告的網站。這些網站可能含有經過蓄意製作並利用此資訊安全風險的內容。但是,攻擊者無法強迫使用者檢視受攻擊者控制的內容, 而是引誘使用者自行前往。一般的做法是設法讓使用者點選電子郵件訊息或 Instant Messenger 中通往攻擊者網站的連結,或設法讓他們開啟經由電子郵件傳送的附件。
因為此資訊安全風險而承受風險的主要系統有哪些?
常使用 Internet Explorer 的系統 (例如工作站或終端伺服器) 的風險最大。
我使用的是適用於 Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 的 Internet Explorer。這樣是否會減輕此資訊安全風險的影響? 是。依照預設,Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 和 Windows Server 2012 上的 Internet Explorer 會以稱為增強式資訊安全設定的受限制模式執行。增強式資訊安全設定是一組預先設定好的 Internet Explorer 設定,可以降低使用者或系統管理員在伺服器下載及執行蓄意製作之網頁內容的可能性。對於您尚未新增至 Internet Explorer [信任的網站] 區域的網站,這是一種緩和因素。
什麼是 Enhanced Mitigation Experience Toolkit v3.0 (EMET)? Enhanced Mitigation Experience Toolkit (EMET) 是一個公用程式,可協助防止攻擊者成功地利用軟體中的資訊安全風險。EMET 是利用安全性緩和技術來達到這個目的。這些技術可作為特殊的防護和障礙,撰寫程式碼的攻擊者必須先突破才能利用軟體中的資訊安全風險。這些安全性緩和技術並無法保證資訊安全風險不會遭到利用,而是盡可能讓資訊安全風險不易被利用。許多情形下,攻擊者可能永遠無法開發出可通過 EMET 障礙的有效攻擊方法。如需更多資訊,請參閱 Microsoft 知識庫文件編號 2458544。
EMET 是否有助於減輕企圖利用這個資訊安全風險的攻擊? 是。Enhanced Mitigation Experience Toolkit (EMET) 可新增其他防護層,讓這個資訊安全風險更不易遭到利用,因而有助於降低此資訊安全風險遭到利用的機會。EMET 是一個公用程式,可套用最新的安全性緩和技術,以協助防止攻擊者成功地利用軟體中的資訊安全風險執行任意程式碼。目前,EMET 提供的支援有限,且僅提供英文版。如需更多資訊,請參閱 Microsoft 知識庫文件編號 2458544。
更新的作用何在?
此更新可修改遠端桌面用戶端處理記憶體中物件的方式,進而解決此資訊安全風險。
本資訊安全公告發行時,此資訊安全風險是否已揭發出來?
否。Microsoft 是經由協同合作的來源接獲有關此資訊安全風險的訊息。
當本資訊安全公告發行時,Microsoft 是否已接獲任何消息,指出此資訊安全風險已遭有心人士利用?
否。本資訊安全公告初次發行時,Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。
更新資訊
偵測與部署工具及指南
有幾項資源可協助系統管理員部署資訊安全更新。
- Microsoft Baseline Security Analyzer (MBSA) 能讓系統管理員掃描本機和遠端系統,查看是否遺漏資訊安全更新及一般資訊安全設定錯誤的狀況。
- Windows Server Update Services (WSUS)、Systems Management Server (SMS) 和 System Center Configuration Manager (SCCM) 可協助系統管理員散佈資訊安全更新。
- 應用程式相容性工具組隨附的 Update Compatibility Evaluator 元件可針對所安裝的應用程式簡化其測試和驗證 Windows 更新的過程。
如需上述工具以及其他可使用工具的詳細資訊,請參閱 IT專業人員的資訊安全工具。
資訊安全更新部署
受影響的軟體
如需有關您使用系統的特定資訊安全更新資訊,請按下適當的連結:
Windows XP (所有版本)
參考表
下表包含此軟體的資訊安全更新資訊。
| 資訊安全更新檔案名稱 | 適用於 Windows XP Service Pack 3 上的遠端桌面連線 6.1 用戶端: WindowsXP-KB2813345-x86-ENU.exe |
| 適用於 Windows XP Service Pack 3 上的遠端桌面連線 7.0 用戶端 (排除 Tablet PC Edition 2005 Service Pack 3): WindowsXP-KB2813347-v2-x86-ENU.exe |
|
| 適用於 Windows XP Professional x64 Edition Service Pack 2 上的遠端桌面連線 6.1 用戶端: WindowsServer2003.WindowsXP-KB2813345-x64-ENU.exe |
|
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 262841 |
| 更新記錄檔 | 適用於遠端桌面連線 6.1 用戶端: KB2813345.log |
| 適用於遠端桌面連線 7.0 用戶端: KB2813347-v2.log |
|
| 重新開機需求 | 在某些情況下,此更新程式不需要重新開機。如果需要的檔案正在使用中,更新程式會要求重新開機。在此情況下,系統會出現訊息提示您重新開機。 若要減少重新開機的可能性,請在安裝資訊安全更新之前,停止所有受影響的服務,並關閉所有可能使用受影響檔案的應用程式。如需系統為何會提示您重新開機的詳細資訊,請參閱 Microsoft 知識庫文件編號 887012。 |
| 移除資訊 | 適用於遠端桌面連線 6.1 用戶端: 使用 [控制台] 中的 [新增或移除程式] 項目,或是 %Windir%\$NTUninstallKB2813345$\Spuninst 資料夾中的 Spuninst.exe 公用程式。 |
| 適用於遠端桌面連線 7.0 用戶端: 使用 [控制台] 中的 [新增或移除程式] 項目,或是 %Windir%\$NTUninstallKB2813347-v2$\Spuninst 資料夾中的 Spuninst.exe 公用程式。 |
|
| 檔案資訊 | 適用於遠端桌面連線 6.1 用戶端: 請參閱 Microsoft 知識庫文件編號 2813345 |
| 適用於遠端桌面連線 7.0 用戶端: 請參閱 Microsoft 知識庫文件編號 2813347 |
|
| 登錄機碼驗證 | 適用於所有受支援 32 位元版本 Windows XP 上的遠端桌面連線 6.1 用戶端: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB2813345\Filelist |
| 適用於所有受支援 32 位元版本 Windows XP 上的遠端桌面連線 7.0 用戶端: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB2813347-v2\Filelist |
|
| 適用於所有受支援 x64 型版本 Windows XP 上的遠端桌面連線 6.1 用戶端: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP Version 2003\SP3\KB2813345\Filelist |
**注意:**對於受支援版本的 Windows XP Professional x64 Edition 的更新也適用於受支援版本的 Windows Server 2003 x64 Edition。
Windows Server 2003 (所有版本)
參考表
下表包含此軟體的資訊安全更新資訊。
| 資訊安全更新檔案名稱 | 適用於 Windows Server 2003 Service Pack 2 上的遠端桌面連線 6.1 用戶端: WindowsServer2003-KB2813345-x86-ENU.exe |
| 適用於 Windows Server 2003 x64 Edition Service Pack 2 上的遠端桌面連線 6.1 用戶端: WindowsServer2003.WindowsXP-KB2813345-x64-ENU.exe |
|
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 262841 |
| 更新記錄檔 | KB2813345.log |
| 重新開機需求 | 在某些情況下,此更新程式不需要重新開機。如果需要的檔案正在使用中,更新程式會要求重新開機。在此情況下,系統會出現訊息提示您重新開機。 若要減少重新開機的可能性,請在安裝資訊安全更新之前,停止所有受影響的服務,並關閉所有可能使用受影響檔案的應用程式。如需系統為何會提示您重新開機的詳細資訊,請參閱 Microsoft 知識庫文件編號 887012。 |
| 移除資訊 | 適用於遠端桌面連線 6.1 用戶端: 使用 [控制台] 中的 [新增或移除程式] 項目,或是 %Windir%\$NTUninstallKB2813345$\Spuninst 資料夾中的 Spuninst.exe 公用程式。 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文件編號 2813345 |
| 登錄機碼驗證 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB2813345\Filelist |
| 資訊安全更新檔案名稱 | 適用於 Windows Vista Service Pack 2 上的遠端桌面連線 6.1 用戶端: Windows6.0-KB2813345-x86.msu |
| 適用於 Windows Vista Service Pack 2 上的遠端桌面連線 7.0 用戶端: Windows6.0-KB2813347-x86.msu |
|
| 適用於 Windows Vista x64 Edition Service Pack 2 上的遠端桌面連線 6.1 用戶端:Windows6.0-KB2813345-x64.msu | |
| 適用於 Windows Vista x64 Edition Service Pack 2 上的遠端桌面連線 7.0 用戶端: Windows6.0-KB2813347-x64.msu |
|
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 934307 |
| 重新開機需求 | 此更新程式不需要重新開機。安裝程式會停止所需服務,然後套用更新,再重新啟動服務。不過,如果必要的服務無法停止,或是必要的檔案正在使用中,更新程式就會要求重新開機。在此情況下,系統會出現訊息提示您重新開機。 |
| 移除資訊 | WUSA.exe 不支援更新的解除安裝。如要解除安裝 WUSA 所安裝的更新程式,請按一下 [控制台],然後按一下 [安全性]。在 Windows Update 下,按一下 [檢視安裝的更新] 並從更新清單中選取。 |
| 檔案資訊 | 適用於遠端桌面連線 6.1 用戶端: 請參閱 Microsoft 知識庫文件編號 2813345 |
| 適用於遠端桌面連線 7.0 用戶端: 請參閱 Microsoft 知識庫文件編號 2813347 |
|
| 登錄機碼驗證 | 注意:登錄機碼不存在,無法驗證此更新是否存在。 |
| 資訊安全更新檔案名稱 | 適用於 32 位元系統的 Windows Server 2008 Service Pack 2 上的遠端桌面連線 6.1 用戶端: Windows6.0-KB2813345-x86.msu |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 上的遠端桌面連線 6.1 用戶端: Windows6.0-KB2813345-x64.msu |
|
| 適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 上的遠端桌面連線 6.1 用戶端: Windows6.0-KB2813345-ia64.msu |
|
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 934307 |
| 重新開機需求 | 此更新程式不需要重新開機。安裝程式會停止所需服務,然後套用更新,再重新啟動服務。不過,如果必要的服務無法停止,或是必要的檔案正在使用中,更新程式就會要求重新開機。在此情況下,系統會出現訊息提示您重新開機。 |
| 移除資訊 | WUSA.exe 不支援更新的解除安裝。如要解除安裝 WUSA 所安裝的更新程式,請按一下 [控制台],然後按一下 [安全性]。在 Windows Update 下,按一下 [檢視安裝的更新] 並從更新清單中選取。 |
| 檔案資訊 | 適用於遠端桌面連線 6.1 用戶端: 請參閱 Microsoft 知識庫文件編號 2813345 |
| 登錄機碼驗證 | 注意:登錄機碼不存在,無法驗證此更新是否存在。 |
| 資訊安全更新檔案名稱 | 在所有受支援之 32 位元版本 Windows 7 上的遠端桌面連線 7.0 用戶端,以及在所有受支援之 32 位元版本 Windows 7 Service Pack 1 上的遠端桌面連線 7.1 用戶端: Windows6.1-KB2813347-x86.msu |
| 在所有受支援之 x64 版本 Windows 7 上的遠端桌面連線 7.0 用戶端,以及在所有受支援之 x64 版本 Windows 7 Service Pack 1 上的遠端桌面連線 7.1 用戶端: Windows6.1-KB2813347-x64.msu |
|
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 934307 |
| 重新開機需求 | 此更新程式不需要重新開機。安裝程式會停止所需服務,然後套用更新,再重新啟動服務。不過,如果必要的服務無法停止,或是必要的檔案正在使用中,更新程式就會要求重新開機。在此情況下,系統會出現訊息提示您重新開機。 |
| 移除資訊 | 若要解除安裝由 WUSA 所安裝的更新程式,請使用 /Uninstall 安裝參數,或按一下 [控制台] 和 [系統及安全性],然後在 Windows Update 項下,按一下 [檢視安裝的更新] 並從更新清單中選取。 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文件編號 2813347 |
| 登錄機碼驗證 | 注意:登錄機碼不存在,無法驗證此更新是否存在。 |
| 資訊安全更新檔案名稱 | 在所有受支援之 x64 版本 Windows Server 2008 R2 上的遠端桌面連線 7.0 用戶端,以及所有受支援之 x64 版本 Windows Server 2008 R2 Service Pack 1 上的遠端桌面連線 7.1 用戶端: Windows6.1-KB2813347-x64.msu |
| 在所有受支援之 Itanium 版本 Windows Server 2008 R2 上的遠端桌面連線 7.0 用戶端,以及所有受支援之 Itanium 版本 Windows Server 2008 R2 Service Pack 1 上的遠端桌面連線 7.1 用戶端: Windows6.1-KB2813347-ia64.msu |
|
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 934307 |
| 重新開機需求 | 此更新程式不需要重新開機。安裝程式會停止所需服務,然後套用更新,再重新啟動服務。不過,如果必要的服務無法停止,或是必要的檔案正在使用中,更新程式就會要求重新開機。在此情況下,系統會出現訊息提示您重新開機。 |
| 移除資訊 | 若要解除安裝由 WUSA 所安裝的更新程式,請使用 /Uninstall 安裝參數,或按一下 [控制台] 和 [系統及安全性],然後在 Windows Update 項下,按一下 [檢視安裝的更新] 並從更新清單中選取。 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文件編號 2813347 |
| 登錄機碼驗證 | 注意:登錄機碼不存在,無法驗證此更新是否存在。 |