安全性佈告欄
Microsoft 安全性佈告欄 MS13-033 - 重要
Windows 用戶端/伺服器執行時間子系統中的弱點 (CSRSS) 可能會允許提高許可權 (2820917)
發行日期:2013 年 4 月 9 日
版本: 1.0
一般資訊
執行摘要
此安全性更新可解決所有支援的 Windows XP、Windows Vista、Windows Server 2003 和 Windows Server 2008 版本中私下回報的弱點。 如果攻擊者登入系統並執行特別製作的應用程式,弱點可能會允許提高許可權。 攻擊者必須具備有效的登入認證,而且能夠在本機登入以惡意探索此弱點。
對於支援的 Windows XP Professional x64 版本和 Windows Server 2003 和 Moderate 版本,此安全性更新會針對支援的 Windows XP、Windows Vista 和 Windows Server 2008 版本,評等為重要。 For more information, see the subsection, Affected and Non-Affected Software, in this section.
安全性更新會修正 Windows 用戶端/伺服器執行時間子系統 (CSRSS) 處理記憶體中物件的方式,以解決弱點。 如需弱點的詳細資訊,請參閱下一節「弱點 資訊」下特定弱點專案的常見問題 (常見問題) 小節。
建議。 大部分的客戶都已啟用自動更新,而且不需要採取任何動作,因為會自動下載並安裝此安全性更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的資訊,請參閱 Microsoft 知識庫文章294871。
對於系統管理員和企業安裝,或想要手動安裝此安全性更新的終端使用者,Microsoft 建議客戶使用更新管理軟體最早套用更新,或使用 Microsoft Update 服務檢查更新。
請參閱本公告稍後的 偵測和部署工具和指引一節。
知識庫文件
| 知識庫文件 | 2820917 |
|---|---|
| 檔案資訊 | Yes |
| SHA1/SHA2 雜湊 | Yes |
| 已知問題 | 無 |
受影響的和非受影響的軟體
下列軟體已經過測試,可判斷受影響的版本。 其他版本或版本會超過其支援生命週期,或不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱Microsoft 支援服務生命週期。
受影響的軟體
非受影響的軟體
| 作業系統 |
|---|
| 適用于 32 位系統的 Windows 7 |
| Windows 7 for 32 位系統 Service Pack 1 |
| 適用于 x64 型系統的 Windows 7 |
| Windows 7 for x64 型系統 Service Pack 1 |
| 適用于 x64 型系統的 Windows Server 2008 R2 |
| 適用于 x64 型系統的 Windows Server 2008 R2 Service Pack 1 |
| Windows Server 2008 R2 for Itanium-based Systems |
| Windows Server 2008 R2 for Itanium 型系統 Service Pack 1 |
| 適用于 32 位系統的 Windows 8 |
| 適用于 64 位系統的 Windows 8 |
| Windows Server 2012 |
| Windows RT |
| Server Core 安裝選項 |
| 適用于 x64 型系統的 Windows Server 2008 R2 (Server Core 安裝) |
| 適用于 x64 型系統 Service Pack 1 的 Windows Server 2008 R2 (Server Core 安裝) |
| Windows Server 2012 (Server Core 安裝) |
更新常見問題
我使用此安全性佈告欄所討論的舊版軟體。 我該怎麼辦?
此佈告欄中列出的受影響軟體已經過測試,以判斷受影響的版本。 其他版本已超過其支援生命週期。 如需產品生命週期的詳細資訊,請參閱Microsoft 支援服務 生命週期網站。
對於具有舊版軟體的客戶而言,它應該是一個優先順序,可移轉至支援的版本,以防止潛在的弱點暴露。 若要判斷軟體版本的支援生命週期,請參閱 選取生命週期資訊的產品。 如需這些軟體版本 Service Pack 的詳細資訊,請參閱 Service Pack 生命週期支援原則。
需要舊版軟體自訂支援的客戶必須連絡其 Microsoft 帳戶小組代表、其技術帳戶管理員,或適當的 Microsoft 合作夥伴代表以取得自訂支援選項。 沒有聯盟、頂級或授權合約的客戶可以連絡其當地 Microsoft 銷售辦公室。 如需連絡資訊,請參閱 Microsoft 全球資訊 網站,選取 [連絡資訊] 清單中的國家/地區,然後按一下 [ 移至 ] 以查看電話號碼清單。 當您撥打電話時,請洽詢當地頂級支援銷售經理。 如需詳細資訊,請參閱Microsoft 支援服務生命週期原則常見問題。
弱點資訊
嚴重性評等和弱點識別碼
下列嚴重性評等假設弱點的潛在最大影響。 如需此安全性佈告欄發行的 30 天內,弱點的惡意探索性與嚴重性評等和安全性影響的相關資訊,請參閱 4 月公告摘要中的惡意探索索引。 如需詳細資訊,請參閱 Microsoft 惡意探索索引。
| 受影響的軟體 | CSRSS 記憶體損毀弱點 - CVE-2013-1295 | 匯總嚴重性評等 |
|---|---|---|
| Windows XP | ||
| Windows XP Service Pack 3 | 溫和 拒絕服務 | 中 |
| Windows XP Professional x64 Edition Service Pack 2 | 重要 提高許可權 | 重要 |
| Windows Sever 2003 | ||
| Windows Server 2003 Service Pack 2 | 重要 提高許可權 | 重要 |
| Windows Server 2003 x64 Edition Service Pack 2 | 重要 提高許可權 | 重要 |
| Windows Server 2003 SP2 for Itanium 型系統 | 重要 提高許可權 | 重要 |
| Windows Vista | ||
| Windows Vista Service Pack 2 | 溫和 拒絕服務 | 中 |
| Windows Vista x64 Edition Service Pack 2 | 溫和 拒絕服務 | 中 |
| Windows Server 2008 | ||
| Windows Server 2008 for 32 位系統 Service Pack 2 | 溫和 拒絕服務 | 中 |
| 適用于 x64 型系統的 Windows Server 2008 Service Pack 2 | 溫和 拒絕服務 | 中 |
| Windows Server 2008 for Itanium 型系統 Service Pack 2 | 溫和 拒絕服務 | 中 |
| Server Core 安裝選項 | ||
| Windows Server 2008 for 32 位系統 Service Pack 2 (Server Core 安裝) | 溫和 拒絕服務 | 中 |
| 適用于 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) | 溫和 拒絕服務 | 中 |
CSRSS 記憶體損毀弱點 - CVE-2013-1295
當 Windows CSRSS 不正確地處理記憶體中的物件時,就存在許可權提升弱點。 成功利用此弱點的攻擊者可以在本機系統的內容中執行任意程式碼。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。
若要將此弱點視為常見弱點和暴露清單中的標準專案,請參閱 CVE-2013-1295。
緩和因素
風險降低是指設定、一般組態或一般最佳做法,其存在於預設狀態,可降低弱點惡意探索的嚴重性。 下列緩和因素可能對您的情況有所説明:
- 攻擊者必須具備有效的登入認證,而且能夠在本機登入以惡意探索此弱點。
因應措施
Microsoft 尚未識別此弱點的任何因應措施。
常見問題集
弱點的範圍為何?
這是權限提高弱點。
造成弱點的原因為何?
當 Windows CSRSS 不正確地處理記憶體中的物件時,就會造成弱點。
什麼是 Windows 用戶端/伺服器執行時間子系統 (CSRSS) ?
Windows Client/Server Runtime Subsystem (CSRSS) 是 Win32 子系統的使用者模式部分, (Win32.sys 是核心模式部分) 。 它負責處理主控台視窗、建立和/或刪除線程。 這是必須隨時執行的基本子系統。
攻擊者可能會使用弱點來執行哪些動作?
在 Windows Server 2003 上,成功利用此弱點的攻擊者可以在本機系統的內容中執行任意程式碼。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。
在 Windows XP、Windows Vista 和 Windows Server 2008 上,成功利用此弱點的攻擊者可能會導致系統在重新開機之前變得沒有回應。
攻擊者如何利用弱點?
若要利用此弱點,攻擊者必須先登入系統。 攻擊者接著可以執行特別製作的應用程式,利用弱點並完全控制受影響的系統。
哪些系統主要有弱點的風險?
工作站和終端機伺服器主要有風險。 如果系統管理員允許使用者登入伺服器並執行程式,伺服器可能會更具風險。 不過,最佳做法強烈建議您不允許這樣做。
更新有何用途?
更新會修正 Windows CSRSS 處理記憶體中物件的方式,以解決弱點。
發出此安全性佈告欄時,是否公開此弱點?
不會。 Microsoft 透過協調的弱點洩漏收到此弱點的相關資訊。
發出此安全性佈告欄時,Microsoft 是否收到任何遭到惡意探索此弱點的報告?
不會。 Microsoft 未收到任何資訊,指出此弱點在最初發出此安全性佈告欄時,已公開用來攻擊客戶。
更新資訊
偵測和部署工具和指引
有數個資源可用來協助系統管理員部署安全性更新。
- Microsoft Baseline Security Analyzer (MBSA) 可讓系統管理員掃描本機和遠端系統是否有遺漏的安全性更新和常見的安全性設定錯誤。
- Windows Server Update Services (WSUS) 、Systems Management Server (SMS) ,以及 System Center Configuration Manager (SCCM) 協助系統管理員散發安全性更新。
- 應用程式相容性工具組隨附的更新相容性評估工具元件可協助簡化針對已安裝應用程式的 Windows 更新測試和驗證。
如需這些工具和其他可用工具的相關資訊,請參閱 適用于 IT 專業人員的安全性工具。
安全性更新部署
受影響的軟體
如需受影響軟體之特定安全性更新的相關資訊,請按一下適當的連結:
Windows XP (所有版本)
參考資料表
下表包含此軟體的安全性更新資訊。
| 安全性更新檔案名 | 針對 Windows XP Service Pack 3:\ WindowsXP-KB2820917-x86-enu.exe |
|---|---|
| 針對 Windows XP Professional x64 Edition Service Pack 2:\ WindowsServer2003.WindowsXP-KB2820917-x64-enu.exe | |
| 安裝參數 | 請參閱 Microsoft 知識庫文章262841 |
| 更新記錄檔 | KB2820917.log |
| 重新啟動需求 | 是,套用此安全性更新之後,您必須重新開機系統。 |
| 移除資訊 | 使用位於 %Windir%$NTUninstallKB 2820917$\Spuninst 資料夾中的 主控台 或 Spuninst.exe 公用程式中的[新增或移除程式] 專案 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文章2820917 |
| 登錄機碼驗證 | 針對所有支援的 32 位版本的 Windows XP:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB2820917\Filelist |
| 針對所有支援的 x64 型 Windows XP:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP Version 2003\SP3\KB2820917\Filelist |
注意 Windows XP Professional x64 Edition 支援版本的更新也適用于支援的 Windows Server 2003 x64 版本。
Windows Server 2003 (所有版本)
參考資料表
下表包含此軟體的安全性更新資訊。
| 安全性更新檔案名 | 針對所有支援的 32 位版本的 Windows Server 2003:\ WindowsServer2003-KB2820917-x86-enu.exe |
|---|---|
| 針對所有支援的 x64 型 Windows Server 2003:\ WindowsServer2003.WindowsXP-KB2820917-x64-enu.exe | |
| 針對所有支援的 Itanium 型 Windows Server 版本 2003:WindowsServer2003-KB2820917-ia64-enu.exe | |
| 安裝參數 | 請參閱 Microsoft 知識庫文章262841 |
| 更新記錄檔 | KB2820917.log |
| 重新啟動需求 | 是,套用此安全性更新之後,您必須重新開機系統。 |
| 移除資訊 | 使用位於 %Windir%$NTUninstallKB 2820917$\Spuninst 資料夾中的 主控台 或 Spuninst.exe 公用程式中的[新增或移除程式] 專案 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文章2820917 |
| 登錄機碼驗證 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB2820917\Filelist |
注意 Windows Server 2003 x64 Edition 支援版本的更新也適用于支援的 Windows XP Professional x64 版本版本。
Windows Vista (所有版本)
參考資料表
下表包含此軟體的安全性更新資訊。
| 安全性更新檔案名 | 針對所有支援的 32 位版本的 Windows Vista:\Windows6.0-KB2820917-x86.msu |
|---|---|
| 針對所有支援的 x64 型 Windows Vista 版本:\Windows6.0-KB2820917-x64.msu | |
| 安裝參數 | 請參閱 Microsoft 知識庫文章934307 |
| 重新啟動需求 | 是,套用此安全性更新之後,您必須重新開機系統。 |
| 移除資訊 | WUSA.exe 不支援卸載更新。 若要卸載 WUSA 安裝的更新,請按一下[主控台],然後按一下 [安全性]。 在 [Windows Update] 下,按一下 [檢視已安裝的更新],然後從更新清單中選取 。 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文章2820917 |
| 登錄機碼驗證 | 注意 登錄機碼不存在,無法驗證此更新是否存在。 |
Windows Server 2008 (所有版本)
參考資料表
下表包含此軟體的安全性更新資訊。
| 安全性更新檔案名 | 針對所有支援的 32 位版本的 Windows Server 2008:\Windows6.0-KB2820917-x86.msu |
|---|---|
| 針對所有支援的 x64 型 Windows Server 2008 版本:\Windows6.0-KB2820917-x64.msu | |
| 針對所有支援的 Itanium 版本 Windows Server 2008:\Windows6.0-KB2820917-ia64.msu | |
| 安裝參數 | 請參閱 Microsoft 知識庫文章934307 |
| 重新啟動需求 | 是,套用此安全性更新之後,您必須重新開機系統。 |
| 移除資訊 | WUSA.exe 不支援卸載更新。 若要卸載 WUSA 安裝的更新,請按一下[主控台],然後按一下 [安全性]。 在 [Windows Update] 下,按一下 [檢視已安裝的更新],然後從更新清單中選取 。 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文章2820917 |
| 登錄機碼驗證 | 注意 登錄機碼不存在,無法驗證此更新是否存在。 |
其他資訊
通知
Microsoft 感謝您 與我們合作,協助保護客戶:
- 用於報告 CSRSS 記憶體損毀弱點 (CVE-2013-1295)
Microsoft Active Protections Program (MAPP)
為了改善客戶的安全性保護,Microsoft 會在每個每月安全性更新版本之前,為主要安全性軟體提供者提供弱點資訊。 安全性軟體提供者接著可以使用此弱點資訊,透過其安全性軟體或裝置為客戶提供更新的保護,例如防毒、網路型入侵偵測系統或主機型入侵防護系統。 若要判斷是否可從安全性軟體提供者取得主動式保護,請移至計畫合作夥伴所提供的主動保護網站,列在 Microsoft Active Protections 計畫 (MAPP) Partner中。
支援
如何取得此安全性更新的說明和支援
- 協助安裝更新: Microsoft Update 的支援
- 適用于 IT 專業人員的安全性解決方案: TechNet 安全性疑難排解和支援
- 協助保護執行 Windows 的電腦免于病毒和惡意程式碼: 病毒解決方案與資訊安全中心
- 根據您的國家/地區提供當地支援: 國際支援
免責聲明
Microsoft 知識庫中提供的資訊是以「原樣」提供,不含任何種類的保固。 Microsoft 會明確或隱含地拒絕所有擔保,包括適適性與適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都對任何損害負責,包括直接、間接、間接、衍生性、業務收益損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲得這類損害的可能性。 某些狀態不允許排除或限制衍生性或附帶損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2013 年 4 月 9 日) :佈告欄發佈。
建置於 2014-04-18T13:49:36Z-07:00