Security Bulletin
Microsoft Security Bulletin MS13-053 - 重大
Windows 核心模式驅動程式中的資訊安全風險可能會允許遠端執行程式碼 (2850851)
發行: 2013年7月9日 | 更新: 2013年7月22日
版本: 1.0
一般資訊
提要
此資訊安全更新可解決 Microsoft Windows 中兩項公開揭露和六項未公開報告的資訊安全風險。其中最嚴重的資訊安全風險可能會在使用者檢視內嵌 TrueType 字型檔案的共用內容時,允許遠端執行程式碼。成功利用此資訊安全風險的攻擊者可以取得受影響系統的完整控制權。
對於所有受支援版本的 Microsoft Windows,此資訊安全更新的等級為「重大」。如需更多資訊,請參閱本節中的<受影響及不受影響的軟體>小節。
此安全性更新利用兩種方式解決這些資訊安全風險,其一為修正 Windows 處理蓄意製作的 TrueType 字型 (TTF) 檔案的方式,其二為修正 Windows 處理記憶體物件的方式。如需更多有關此資訊安全風險的資訊,請參閱下節<資訊安全風險資訊>下的特定資訊安全風險項目的<常見問題集 (FAQ)>小節。
**建議。**大部分客戶都已啟用自動更新,並且不必須採取任何行動,因為資訊安全更新將自動下載和安裝。沒有啟用自動更新的客戶則必須檢查更新,並手動安裝更新。如需有關自動更新中特定設定選項的資訊,請參閱 Microsoft 知識庫文件編號 294871。
若是系統管理員和企業安裝,或是想要手動安裝此資訊安全更新的使用者,Microsoft 建議客戶使用更新管理軟體,立即套用更新,或使用 Microsoft Update 服務檢查更新。
另請參閱本公告下文的<偵測與部署工具及指南>一節。
知識庫文件
| 知識庫文件 | 2850851 |
|---|---|
| 檔案資訊 | 是 |
| SHA1/SHA2 雜湊 | 是 |
| 已知問題 | 是 |
受影響及不受影響的軟體
下列軟體已經過測試判斷哪些版號或版本會受到影響。其他版本超過它們的支援週期或不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站。
受影響的軟體
| 作業系統 | 最大資訊安全影響 | 彙總嚴重性等級 | 已取代更新 |
|---|---|---|---|
| Windows XP | |||
| [Windows XP Service Pack 3](https://www.microsoft.com/download/details.aspx?familyid=314d4342-c703-48db-b534-fd6aaf2b43e5) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| [Windows XP Professional x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=45e0f8b2-b37f-42b3-bf9f-664f4c8a5b8c) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| Windows Server 2003 | |||
| [Windows Server 2003 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=226020f0-edb5-48f4-a32e-a3df08a0d3ac) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| [Windows Server 2003 x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=1ed6d6a7-6896-4704-ac40-6953373f7531) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| [適用於 Itanium 型系統的 Windows Server 2003 SP2](https://www.microsoft.com/download/details.aspx?familyid=11e3b552-ab79-4d6f-9d66-28f1cba5dfb7) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| Windows Vista | |||
| [Windows Vista Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=f2cb72c5-3db1-4fb7-a055-23370c4d3cca) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| [Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=d444b864-d74c-4272-8fe5-7f7c71ec5c1a) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| Windows Server 2008 | |||
| [適用於 32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=d12b123c-72de-43d1-89b3-c5a2cf7ed407) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| [適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=921b7095-2df2-40ae-9b5f-a0a20760b3bf) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| [適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=73c3ab37-0aa9-463f-a6b2-f94536b11a2d) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| Windows 7 | |||
| [適用於 32 位元系統的 Windows 7 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=36fac401-2ae3-45f0-94a0-f87592b7b85d) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| [適用於 x64 型系統的 Windows 7 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=ef3a49f9-8157-45ed-8b04-cda7ddda625e) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| Windows Server 2008 R2 | |||
| [適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=5e2fd254-94ee-4822-92af-4be111cc4181) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中的 2829361 |
| [適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=50eb10e5-cf4d-4724-9d30-4f8daf0210fb) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中的 2829361 |
| Windows 8 | |||
| [適用於 32 位元系統的 Windows 8](https://www.microsoft.com/download/details.aspx?familyid=e8a0b3c7-be90-4fa2-bc03-5964e3633a8e) (2850851) | 遠端執行程式碼 | **重大** | [MS13-036](https://go.microsoft.com/fwlink/?linkid=281927) 中的 2808735 |
| [適用於 64 位元系統的 Windows 8](https://www.microsoft.com/download/details.aspx?familyid=5245ee0f-a067-4ba6-a52d-b92fb83a313d) (2850851) | 遠端執行程式碼 | **重大** | [MS13-036](https://go.microsoft.com/fwlink/?linkid=281927) 中的 2808735 |
| Windows Server 2012 | |||
| [Windows Server 2012](https://www.microsoft.com/download/details.aspx?familyid=f8b6daf7-a085-4c81-9e9e-45eada9b6fcd) (2850851) | 遠端執行程式碼 | **重大** | [MS13-036](https://go.microsoft.com/fwlink/?linkid=281927) 中的 2808735 |
| Windows RT | |||
| Windows RT[1] (2850851) | 遠端執行程式碼 | **重大** | [MS13-036](https://go.microsoft.com/fwlink/?linkid=281927) 中的 2808735 |
| Server Core 安裝選項 | |||
| [適用於 32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=d12b123c-72de-43d1-89b3-c5a2cf7ed407) (Server Core 安裝) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| [適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=921b7095-2df2-40ae-9b5f-a0a20760b3bf) (Server Core 安裝) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| [適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=5e2fd254-94ee-4822-92af-4be111cc4181) (Server Core 安裝) (2850851) | 遠端執行程式碼 | **重大** | [MS13-046](https://go.microsoft.com/fwlink/?linkid=296427) 中 2829361 |
| [Windows Server 2012](https://www.microsoft.com/download/details.aspx?familyid=f8b6daf7-a085-4c81-9e9e-45eada9b6fcd) (Server Core 安裝) (2850851) | 遠端執行程式碼 | **重大** | [MS13-036](https://go.microsoft.com/fwlink/?linkid=281927) 中的 2808735 |
更新常見問題集
CVE-2013-3129 已在多個資訊安全公告中描述。這些公告相關性為何? TrueType 字型剖析資訊安全風險 (CVE-2013-3129) 會影響下列產品:
- Microsoft Windows 元件 (MS13-054)
- Microsoft Office (MS13-054)
- Microsoft Lync (MS13-054)
- Microsoft Visual Studio (MS13-054)
- Microsoft Windows 核心模式驅動程式 (MS13-053)
- Microsoft .NET Framework (MS13-052)
- Microsoft Silverlight (MS13-052)
您只需安裝對應至您系統上已安裝的軟體之更新。如果需要安裝一個以上的更新,您可以依任何順序安裝。
為何本次更新中仍然包含數個已回報的資訊安全風險? 因為解決這些資訊安全風險所需的修正作業位於相關檔案中,所以在本次更新中仍然提供對這些資訊安全風險的支援。
我所使用的軟體是此資訊安全公告中討論的軟體之舊版。該怎麼辦? 本公告所列出的受影響軟體版本已經過測試判斷哪些版本會受到影響。其他版本超出它們的支援週期。如需瞭解產品生命週期的更多資訊,請參閱 Microsoft 支援週期網站。
使用此軟體舊版的客戶應優先考慮移轉至支援的版本,以避免因潛在的資訊安全風險而遭受攻擊。若要瞭解您的軟體版本的支援週期,請參閱選擇一個產品檢視其支援週期資訊。如需更多關於上述軟體版本的 Service Pack 的資訊,請參閱 Service Pack 週期支援政策。
需要舊版軟體額外支援服務的客戶,請連絡 Microsoft 客戶小組人員、技術支援經理或適當的 Microsoft 協力廠商,以取得所需的額外支援。尚未簽訂聯盟、優先或授權合約的客戶,可以連絡當地的 Microsoft 銷售辦公室。如需連絡資訊,請參閱 Microsoft 全球資訊網站,在 [Contact Information] (連絡資訊) 清單中選擇國家,然後按一下 [Go] (前往) 查看各地的連絡電話號碼。連絡時,請指明要連絡當地優先支援服務行銷經理。如需更多資訊,請參閱 Microsoft 技術支援週期準則常見問答集。
資訊安全風險資訊
嚴重性等級和資訊安全風險識別碼
下列嚴重性等級是假設資訊安全風險可能造成的最嚴重影響而評定。在本資訊安全公告發行的 30 天內,如需資訊安全風險之易遭利用性與嚴重性等級和資訊安全影響之間對應關係的資訊,請參閱 7 月份公告摘要中的<資訊安全風險入侵指數>。如需更多資訊,請參閱 Microsoft 資訊安全風險入侵指數。
| 受影響的軟體 | Win32k 記憶體配置資訊安全風險 - CVE-2013-1300 | Win32k 解除參照資訊安全風險 - CVE-2013-1340 | Win32k 資訊安全風險 - CVE-2013-1345 | TrueType 字型剖析資訊安全風險 - CVE-2013-3129 | Win32k 資訊洩漏資訊安全風險 - CVE-2013-3167 | Win32k 緩衝區溢位資訊安全風險 - CVE-2013-3172 | Win32k 緩衝區覆寫資訊安全風險 - CVE-2013-3173 | Win32k 讀取 AV 資訊安全風險 - CVE-2013-3660 | 彙總嚴重性等級 |
|---|---|---|---|---|---|---|---|---|---|
| Windows XP | |||||||||
| Windows XP Service Pack 3 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| Windows XP Professional x64 Edition Service Pack 2 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| Windows Server 2003 | |||||||||
| Windows Server 2003 Service Pack 2 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| Windows Server 2003 x64 Edition Service Pack 2 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| 適用於 Itanium 型系統的 Windows Server 2003 SP2 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| Windows Vista | |||||||||
| Windows Vista Service Pack 2 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| Windows Vista x64 Edition Service Pack 2 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| Windows Server 2008 | |||||||||
| 適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| 適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| Windows 7 | |||||||||
| 適用於 32 位元系統的 Windows 7 Service Pack 1 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| 適用於 x64 型系統的 Windows 7 Service Pack 1 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| Windows Server 2008 R2 | |||||||||
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| 適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1 (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| Windows 8 | |||||||||
| 適用於 32 位元系統的 Windows 8 (win32k.sys) | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **中度** 阻斷服務 (DoS) | **重大** 權限提高 | 不適用 | 不適用 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| 適用於 64 位元系統的 Windows 8 (win32k.sys) | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **中度** 阻斷服務 (DoS) | **重大** 權限提高 | 不適用 | 不適用 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| Windows Server 2012 | |||||||||
| Windows Server 2012 (win32k.sys) | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **中度** 阻斷服務 (DoS) | **重大** 遠端執行程式碼 | 不適用 | 不適用 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| Windows RT | |||||||||
| Windows RT[1] (win32k.sys) | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **中度** 阻斷服務 (DoS) | **重大** 遠端執行程式碼 | 不適用 | 不適用 | **重要** 權限提高 | 不適用 | **重大** |
| Server Core 安裝選項 | |||||||||
| 適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) (win32k.sys) | **重要** 權限提高 | **重要** 權限提高 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
| Windows Server 2012 (Server Core 安裝) (win32k.sys) | **重要** 權限提高 | **中度** 阻斷服務 (DoS) | **中度** 阻斷服務 (DoS) | **重大** 遠端執行程式碼 | 不適用 | 不適用 | **重要** 權限提高 | **重大** 遠端執行程式碼 | **重大** |
Win32k 記憶體配置資訊安全風險 - CVE-2013-1300
Windows核心模式驅動程式處理記憶體中物件時存在權限提高的資訊安全風險。成功利用此資訊安全風險的攻擊者能以提高的權限執行任意程式碼。
若要以一般性資訊安全風險清單中的標準項目來檢視此資訊安全風險,請參閱 CVE-2013-1300。
緩和因素
緩和因素是指存在於預設狀態中的設定、共用設定或一般最佳作法,可能會減少資訊安全風險影響的嚴重性。下列緩和因素可能對您的狀況有所助益:
- 攻擊者必須擁有有效的登入認證,並能夠登入,才能利用這項資訊安全風險。
因應措施
Microsoft 尚未找到此項資訊安全風險的任何因應措施。
常見問題集
此資訊安全風險的範圍為何? 這是權限提高的資訊安全風險。
造成此資訊安全風險的原因為何? 此資訊安全風險是由 Windows 核心模式驅動程式不當處理記憶體中物件所造成。
什麼是 Windows 核心模式驅動程式 (win32k.sys)?
Win32k.sys 是一個核心模式裝置驅動程式,為 Windows 子系統的核心組件。其中含有視窗管理員,專門負責:控制視窗顯示、管理螢幕輸出、從鍵盤、滑鼠及其他裝置收集輸入,以及將使用者訊息傳遞至應用程式。此外,也包含圖形裝置介面 (GDI),這是一個圖形輸出裝置的函式庫。最後,也為另一個驅動程式 (dxgkrnl.sys) 中實作的 DirectX 支援提供一層包裝函式。
攻擊者可能會利用此資訊安全風險採取什麼行動? 成功利用此資訊安全風險的攻擊者能以提高的層級執行程序。
攻擊者如何利用此資訊安全風險? 如果要利用此資訊安全風險,攻擊者首先必須登入系統。接著,攻擊者便可執行蓄意製作的應用程式以提高權限。
因為此資訊安全風險而承受風險的主要系統有哪些? 工作站和終端伺服器的風險最高。若系統管理員允許使用者登入伺服器並執行程式,則伺服器可能遭受更大的風險。然而,最佳實務強烈建議您制止這種行為。
更新的作用何在? 此更新可修正 Windows 核心模式驅動程式處理記憶體中物件的方式,進而解決此資訊安全風險。
本資訊安全公告發行時,此資訊安全風險是否已揭發出來? 否。Microsoft 是經由協同合作的來源接獲有關此資訊安全風險的訊息。
當本資訊安全公告發行時,Microsoft 是否已接獲任何消息,指出此資訊安全風險已遭有心人士利用? 否。本資訊安全公告初次發行時,Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。
Win32k 解除參照資訊安全風險 - CVE-2013-1340
Windows 核心模式驅動程式以不當的方式處理記憶體中物件,而存在權限提高的資訊安全風險。成功利用此資訊安全風險的攻擊者能以提高的權限執行任意程式碼。
若要以一般性資訊安全風險清單中的標準項目來檢視此資訊安全風險,請參閱 CVE-2013-1340。
緩和因素
緩和因素是指存在於預設狀態中的設定、共用設定或一般最佳作法,可能會減少資訊安全風險影響的嚴重性。下列緩和因素可能對您的狀況有所助益:
- 攻擊者必須擁有有效的登入認證,並能夠登入,才能利用這項資訊安全風險。
因應措施
Microsoft 尚未找到此項資訊安全風險的任何因應措施。
常見問題集
此資訊安全風險的範圍為何? 這是權限提高的資訊安全風險。
造成此資訊安全風險的原因為何? 此資訊安全風險是由 Windows 核心模式驅動程式不當處理記憶體中物件所造成。
攻擊者可能會利用此資訊安全風險採取什麼行動? 在 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 中,成功利用此資訊安全風險的攻擊者能以提高的層級執行程序。在 Windows 8 和 Windows Server 2012 中,成功利用此資訊安全風險的攻擊者可造成目標系統停止回應。
攻擊者如何利用此資訊安全風險? 在攻擊案例中,攻擊者首先必須登入系統。接著,攻擊者便可執行蓄意製作的應用程式以提高權限。
因為此資訊安全風險而承受風險的主要系統有哪些? 工作站和終端伺服器的風險最高。若系統管理員允許使用者登入伺服器並執行程式,則伺服器可能遭受更大的風險。然而,最佳實務強烈建議您制止這種行為。
更新的作用何在? 此更新可修正 Windows 處理記憶體中物件的方式,進而解決此資訊安全風險。
本資訊安全公告發行時,此資訊安全風險是否已揭發出來? 否。Microsoft 是經由協同合作的來源接獲有關此資訊安全風險的訊息。
當本資訊安全公告發行時,Microsoft 是否已接獲任何消息,指出此資訊安全風險已遭有心人士利用? 否。本資訊安全公告初次發行時,Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。
Win32k 資訊安全風險 - CVE-2013-1345
Windows 核心模式驅動程式以不當的方式處理記憶體中物件,而存在權限提高的資訊安全風險。成功利用此資訊安全風險的攻擊者能以提高的權限執行任意程式碼。
若要以一般性資訊安全風險清單中的標準項目來檢視此資訊安全風險,請參閱 CVE-2013-1345。
緩和因素
緩和因素是指存在於預設狀態中的設定、共用設定或一般最佳作法,可能會減少資訊安全風險影響的嚴重性。下列緩和因素可能對您的狀況有所助益:
- 攻擊者必須擁有有效的登入認證,並能夠登入,才能利用這項資訊安全風險。
因應措施
Microsoft 尚未找到此項資訊安全風險的任何因應措施。
常見問題集
此資訊安全風險的範圍為何? 這是權限提高的資訊安全風險。
造成此資訊安全風險的原因為何? 此資訊安全風險是由 Windows 核心模式驅動程式不當處理記憶體中物件所造成。
攻擊者可能會利用此資訊安全風險採取什麼行動? 在 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 中,成功利用此資訊安全風險的攻擊者能以提高的層級執行程序。在 Windows 8 和 Windows Server 2012 中,成功利用此資訊安全風險的攻擊者可造成目標系統停止回應。
攻擊者如何利用此資訊安全風險? 在攻擊案例中,攻擊者首先必須登入系統。接著,攻擊者便可執行蓄意製作的應用程式以提高權限。
因為此資訊安全風險而承受風險的主要系統有哪些? 工作站和終端伺服器的風險最高。若系統管理員允許使用者登入伺服器並執行程式,則伺服器可能遭受更大的風險。然而,最佳實務強烈建議您制止這種行為。
更新的作用何在? 此更新可修正 Windows 處理記憶體中物件的方式,進而解決此資訊安全風險。
本資訊安全公告發行時,此資訊安全風險是否已揭發出來? 否。Microsoft 是經由協同合作的來源接獲有關此資訊安全風險的訊息。
當本資訊安全公告發行時,Microsoft 是否已接獲任何消息,指出此資訊安全風險已遭有心人士利用? 否。本資訊安全公告初次發行時,Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。
TrueType 字型剖析資訊安全風險 - CVE-2013-3129
受影響元件處理蓄意製作之 TrueType 字型檔案的方式中,存在遠端執行程式碼的資訊安全風險。如果使用者開啟蓄意製作的 TrueType 字型檔案,此資訊安全風險可能會允許遠端執行程式碼。成功利用此資訊安全風險的攻擊者可以取得受影響系統的完整控制權。接下來,攻擊者就能安裝程式,檢視、變更或刪除資料,或是建立具有完整系統管理權限的新帳戶。
若要以一般性資訊安全風險清單中的標準項目來檢視此資訊安全風險,請參閱 CVE-2013-3129。
緩和因素
緩和因素是指存在於預設狀態中的設定、共用設定或一般最佳作法,可能會減少資訊安全風險影響的嚴重性。下列緩和因素可能對您的狀況有所助益:
- 在網頁瀏覽攻擊的案例中,攻擊者可架設一個網站,並在其中包含用來利用此資訊安全風險的網頁。此外,受侵害的網站以及接受或存放使用者提供之內容或廣告的網站裡,也可能包含蓄意製作以利用本資訊安全風險的內容。但是,在所有情況下,攻擊者無法強迫使用者造訪這類網站, 而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件或 Instant Messenger 訊息中連往攻擊者網站的連結。
- 根據預設,所有受支援版本的 Microsoft Outlook、Microsoft Outlook Express 及 Windows Mail 都會在 [限制的網站] 區域 (此區域預設停用字型下載) 中開啟 HTML 電子郵件訊息。如果使用者按下電子郵件訊息中的連結,仍有可能因為網頁式攻擊而受此資訊安全風險遭利用的影響。如果使用者開啟電子郵件訊息中傳送的附件,此資訊安全風險也有可能遭到利用。
- 惡意檔案可作為電子郵件的附件傳送,但攻擊者必須說服使用者開啟附件,才能利用資訊安全風險。
因應措施
因應措施指的是無法徹底修正資訊安全風險,但有助於在套用更新之前封鎖已知攻擊模式的設定變更。Microsoft 測試了下列因應措施和狀態,討論因應措施是否會降低功能: 或是 Microsoft 尚未找到此項資訊安全風險的任何因應措施。
停用 WebClient 服務
停用 WebClient 服務可封鎖最可能透過 Web Distributed Authoring and Versioning (WebDAV) 用戶端服務進行的遠端攻擊模式,藉以協助保護受影響的系統,使不會遭到利用此資訊安全風險的攻擊。採取此因應措施後,成功地利用此資訊安全風險的遠端攻擊者仍可能導致系統執行目標使用者的電腦或區域網路 (LAN) 上的程式,但系統會先提示使用者確認,才會從網際網路開啟任意的程式。
若要停用 WebClient 服務,請執行這些步驟:
- 按一下 [開始],按一下 [執行],鍵入 Services.msc,然後按一下 [確定]。
- 在 [WebClient] 服務上按一下滑鼠右鍵,然後選取 [內容]。
- 將 [啟動類型] 變更為 [停用]。若正在執行服務,請按一下 [停止]。
- 按一下 [確定] 並結束管理應用程式。
因應措施的影響。 停用 WebClient 服務時,不會傳送 Web Distributed Authoring and Versioning (WebDAV) 要求。此外,任何明確依賴網路用戶端服務的服務將不能啟動,系統記錄檔也會記錄錯誤訊息。例如,用戶端電腦將無法存取 WebDAV 共用。
如何復原因應措施。
若要重新啟用 WebClient 服務,請依照下列步驟進行:
- 按一下 [開始],按一下 [執行],鍵入 Services.msc,然後按一下 [確定]。
- 在 [WebClient] 服務上按一下滑鼠右鍵,然後選取 [內容]。
- 將 [啟動類型] 變更為 [自動]。若未執行服務,請按一下 [啟動]。
- 按一下 [確定] 並結束管理應用程式。
在防火牆中封鎖 TCP 連接埠 139 和 445
上述連接埠用於起始與受影響元件的連線。在防火牆封鎖 TCP 連接埠 139 與 445 有助於保護防火牆後方的系統免遭此資訊安全風險的攻擊。Microsoft 建議您封鎖所有網際網路中來路不明的輸入通訊,以防他人利用其他連接埠攻擊系統。如需更多關於連接埠的資訊,請參閱 TechNet 文章:TCP 和 UDP 連接埠的指派 (英文)。
因應措施的影響。 幾項 Windows 服務均有使用這些受影響的連接埠。封鎖這些連接埠的連線,可能會導致多個應用程式和服務無法正常運作。可能受影響的一些應用程式或服務如下所列:
- 使用 SMB (CIFS) 的應用程式
- 使用郵件插槽或具名管道 (SMB 上的 RPC) 的應用程式
- Server (檔案和列印共用)
- 群組原則
- Net Logon
- Distributed File System (DFS)
- Terminal Server Licensing
- Print Spooler
- Computer Browser
- Remote Procedure Call Locator
- Fax Service
- Indexing Service
- Performance Logs and Alerts
- Systems Management Server
- License Logging Service
如何復原因應措施。 在防火牆中解除封鎖 TCP 連接埠 139 和 445。如需更多關於連接埠的資訊,請參閱 TCP 和 UDP 連接埠的指派 (英文)。
在 Windows 檔案總管中停用預覽窗格和詳細資料窗格
在 Windows 檔案總管中停用預覽和詳細資料窗格後,即可避免在 Windows 檔案總管中檢視 TrueType 字型。這可避免在 Windows 檔案總管中檢視惡意檔案,但無法避免通過驗證的本機使用者執行蓄意製作的程式來利用此資訊安全風險。
若要在 Windows Vista、Windows Server 2008,Windows 7 及 Windows Server 2008 R2 中停用這些窗格,請執行下列步驟:
- 開啟 Windows 檔案總管,按一下 [組合管理],然後按一下 [版面配置]。
- 清除 [詳細資料窗格] 和 [預覽窗格] 功能表選項。
- 開啟 Windows 檔案總管,按一下 [組合管理],然後按一下 [資料夾和搜尋選項]。
- 按一下 [檢視] 索引標籤。
- 在 [進階設定] 下方,核取 [一律顯示圖示,不顯示縮圖] 方塊。
- 關閉所有開啟的 Windows 檔案總管執行個體,使變更生效。
如何復原因應措施。 若要在 Windows Vista、Windows Server 2008、Windows 7 及 Windows Server 2008 R2 中重新啟用 Windows 檔案總管的預覽和詳細資料窗格:
- 開啟 Windows 檔案總管,按一下 [組合管理],然後按一下 [版面配置]。
- 選取 [詳細資料窗格] 和 [預覽窗格] 功能表選項。
- 開啟 Windows 檔案總管,按一下 [組合管理],然後按一下 [資料夾和搜尋選項]。
- 按一下 [檢視] 索引標籤。
- 在 [進階設定] 下方,清除 [一律顯示圖示,不顯示縮圖] 方塊。
- 關閉所有開啟的 Windows 檔案總管執行個體,使變更生效。
常見問題集
此資訊安全風險的範圍為何? 這是遠端執行程式碼的資訊安全風險。
造成此資訊安全風險的原因為何? 此資訊安全風險是由於 Windows 無法正確處理蓄意製作的 TrueType 字型 (TTF) 檔案所致。
什麼是 TrueType? TrueType 是 Microsoft 作業系統使用的一種數位字型技術。
攻擊者可能會利用此資訊安全風險採取什麼行動? 成功利用此資訊安全風險的攻擊者可以在核心模式下執行任意程式碼。接下來,攻擊者就能安裝程式,檢視、變更或刪除資料,或是建立具有完整系統管理權限的新帳戶。
攻擊者如何利用此資訊安全風險? 有多種方法可讓攻擊者利用此資訊安全風險。
在網頁式攻擊案例中,攻擊者可能架設一個為了利用此資訊安全風險而蓄意製作的網站,然後引誘使用者檢視該網站。但是,攻擊者無法強迫使用者檢視受攻擊者控制的內容, 而是引誘使用者自行前往。一般的做法是設法讓使用者點選電子郵件訊息或 Instant Messenger 中通往攻擊者網站的連結,或開啟經由電子郵件傳送的附件。
在檔案共用攻擊的案例中,攻擊者可以提供蓄意製作並設計利用此資訊安全風險的文件檔,然後引誘使用者開啟該文件檔。
在本機攻擊的案例中,攻擊者也可以執行蓄意製作的應用程式,取得受影響系統的完整控制權,以利用此資訊安全風險。但是,攻擊者必須擁有有效的登入認證,並能夠登入本機,才能在此案例中利用此資訊安全風險。
因為此資訊安全風險而承受風險的主要系統有哪些? 工作站和終端伺服器的風險最高。
更新的作用何在? 此更新可修正 Windows 處理蓄意製作的 TrueType 字型 (TTF) 檔案的方式,藉以解決此資訊安全風險。
本資訊安全公告發行時,此資訊安全風險是否已揭發出來? 否。Microsoft 是經由協同合作的來源接獲有關此資訊安全風險的訊息。
當本資訊安全公告發行時,Microsoft 是否已接獲任何消息,指出此資訊安全風險已遭有心人士利用? 否。本資訊安全公告初次發行時,Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。
Win32k 資訊洩漏資訊安全風險 - CVE-2013-3167
Windows 核心模式驅動程式以不當的方式處理記憶中的物件,因而存在可能會導致權限提高的資訊洩漏資訊安全風險。
若要以一般性資訊安全風險清單中的標準項目來檢視此資訊安全風險,請參閱 CVE-2013-3167。
緩和因素
緩和因素是指存在於預設狀態中的設定、共用設定或一般最佳作法,可能會減少資訊安全風險影響的嚴重性。下列緩和因素可能對您的狀況有所助益:
- 攻擊者必須擁有有效的登入認證,並能夠登入,才能利用這項資訊安全風險。
因應措施
Microsoft 尚未找到此項資訊安全風險的任何因應措施。
常見問題集
此資訊安全風險的範圍為何? 這是一個可能會導致權限提高的資訊洩漏資訊安全風險。
造成此資訊安全風險的原因為何? 此資訊安全風險是由 Windows 核心模式驅動程式不當處理記憶體中物件所造成。
什麼是 Windows 核心模式驅動程式 (win32k.sys)?
Win32k.sys 是一個核心模式裝置驅動程式,為 Windows 子系統的核心組件。其中含有視窗管理員,專門負責:控制視窗顯示、管理螢幕輸出、從鍵盤、滑鼠及其他裝置收集輸入,以及將使用者訊息傳遞至應用程式。此外,也包含圖形裝置介面 (GDI),這是一個圖形輸出裝置的函式庫。最後,也為另一個驅動程式 (dxgkrnl.sys) 中實作的 DirectX 支援提供一層包裝函式。
攻擊者可能會利用此資訊安全風險採取什麼行動? 成功利用此資訊安全風險的攻擊者能以提高的層級執行程序。
攻擊者如何利用此資訊安全風險? 如果要利用此資訊安全風險,攻擊者首先必須登入系統。接著,攻擊者便可執行蓄意製作的應用程式以提高權限。
因為此資訊安全風險而承受風險的主要系統有哪些? 工作站和終端伺服器的風險最高。若系統管理員允許使用者登入伺服器並執行程式,則伺服器可能遭受更大的風險。然而,最佳實務強烈建議您制止這種行為。
更新的作用何在? 此更新可修正 Windows 核心模式驅動程式處理記憶體中物件的方式,進而解決此資訊安全風險。
本資訊安全公告發行時,此資訊安全風險是否已揭發出來? 否。Microsoft 是經由協同合作的來源接獲有關此資訊安全風險的訊息。
當本資訊安全公告發行時,Microsoft 是否已接獲任何消息,指出此資訊安全風險已遭有心人士利用? 否。本資訊安全公告初次發行時,Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。
Win32k 緩衝區溢位資訊安全風險 - CVE-2013-3172
Windows 核心模式驅動程式以不當的方式處理記憶體中物件,而存在阻斷服務 (DoS) 的資訊安全風險。成功利用此資訊安全風險的攻擊者可造成目標系統停止回應。
若要以一般性資訊安全風險清單中的標準項目來檢視此資訊安全風險,請參閱 CVE-2013-3172。
緩和因素
緩和因素是指存在於預設狀態中的設定、共用設定或一般最佳作法,可能會減少資訊安全風險影響的嚴重性。下列緩和因素可能對您的狀況有所助益:
- 攻擊者必須擁有有效的登入認證,並能夠登入,才能利用這項資訊安全風險。
因應措施
Microsoft 尚未找到此項資訊安全風險的任何因應措施。
常見問題集
此資訊安全風險的範圍為何? 這是一項阻斷服務 (DoS) 的資訊安全風險。
造成此資訊安全風險的原因為何? 此資訊安全風險是由 Windows 核心模式驅動程式不當處理記憶體中物件所造成。
什麼是 Windows 核心模式驅動程式 (win32k.sys)?
Win32k.sys 是一個核心模式裝置驅動程式,為 Windows 子系統的核心組件。其中含有視窗管理員,專門負責:控制視窗顯示、管理螢幕輸出、從鍵盤、滑鼠及其他裝置收集輸入,以及將使用者訊息傳遞至應用程式。此外,也包含圖形裝置介面 (GDI),這是一個圖形輸出裝置的函式庫。最後,也為另一個驅動程式 (dxgkrnl.sys) 中實作的 DirectX 支援提供一層包裝函式。
攻擊者可能會利用此資訊安全風險採取什麼行動? 成功利用此資訊安全風險的攻擊者可造成目標系統停止回應。
攻擊者如何利用此資訊安全風險? 使用者必須執行蓄意製作的應用程式,攻擊者才能利用此資訊安全風險。
因為此資訊安全風險而承受風險的主要系統有哪些? 工作站和終端伺服器的風險最高。若系統管理員允許使用者登入伺服器並執行程式,則伺服器可能遭受更大的風險。然而,最佳實務強烈建議您制止這種行為。
更新的作用何在? 此更新可修正 Windows 核心模式驅動程式處理記憶體中物件的方式,進而解決此資訊安全風險。
本資訊安全公告發行時,此資訊安全風險是否已揭發出來? 是。此資訊安全風險已經遭到公開揭發。這項資訊安全風險已被指派一般性資訊安全風險編號 CVE-2013-3172。
當本資訊安全公告發行時,Microsoft 是否已接獲任何消息,指出此資訊安全風險已遭有心人士利用? 否。本資訊安全公告初次發行時,Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。
Win32k 緩衝區覆寫資訊安全風險 - CVE-2013-3173
Windows 核心模式驅動程式以不當的方式處理記憶體中物件,而存在權限提高的資訊安全風險。成功利用此資訊安全風險的攻擊者能以提高的權限執行任意程式碼。
若要以一般性資訊安全風險清單中的標準項目來檢視此資訊安全風險,請參閱 CVE-2013-3173。
緩和因素
緩和因素是指存在於預設狀態中的設定、共用設定或一般最佳作法,可能會減少資訊安全風險影響的嚴重性。下列緩和因素可能對您的狀況有所助益:
- 攻擊者必須擁有有效的登入認證,並能夠登入,才能利用這項資訊安全風險。
因應措施
Microsoft 尚未找到此項資訊安全風險的任何因應措施。
常見問題集
此資訊安全風險的範圍為何? 這是權限提高的資訊安全風險。
造成此資訊安全風險的原因為何? 此資訊安全風險是由 Windows 核心模式驅動程式不當處理記憶體中物件所造成。
什麼是 Windows 核心模式驅動程式 (win32k.sys)?
Win32k.sys 是一個核心模式裝置驅動程式,為 Windows 子系統的核心組件。其中含有視窗管理員,專門負責:控制視窗顯示、管理螢幕輸出、從鍵盤、滑鼠及其他裝置收集輸入,以及將使用者訊息傳遞至應用程式。此外,也包含圖形裝置介面 (GDI),這是一個圖形輸出裝置的函式庫。最後,也為另一個驅動程式 (dxgkrnl.sys) 中實作的 DirectX 支援提供一層包裝函式。
攻擊者可能會利用此資訊安全風險採取什麼行動? 成功利用此資訊安全風險的攻擊者能以提高的層級執行程序。
攻擊者如何利用此資訊安全風險? 如果要利用此資訊安全風險,攻擊者首先必須登入系統。接著,攻擊者便可執行蓄意製作的應用程式以提高權限。
因為此資訊安全風險而承受風險的主要系統有哪些? 工作站和終端伺服器的風險最高。若系統管理員允許使用者登入伺服器並執行程式,則伺服器可能遭受更大的風險。然而,最佳實務強烈建議您制止這種行為。
更新的作用何在? 此更新可修正 Windows 核心模式驅動程式處理記憶體中物件的方式,進而解決此資訊安全風險。
本資訊安全公告發行時,此資訊安全風險是否已揭發出來? 否。Microsoft 是經由協同合作的來源接獲有關此資訊安全風險的訊息。
當本資訊安全公告發行時,Microsoft 是否已接獲任何消息,指出此資訊安全風險已遭有心人士利用? 否。本資訊安全公告初次發行時,Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。
Win32k 讀取 AV 資訊安全風險 - CVE-2013-3660
由於 Windows 核心模式驅動程式對記憶體物件的處理方式不當,因此理論上可能形成一項遠端執行程式碼資訊安全風險。成功利用這項遠端執行程式碼資訊安全風險的攻擊者,將能夠以 Windows 核心的安全權限執行任意程式碼。然而,由於此遠端攻擊媒介遭到利用的可能性偏低,攻擊者可能必須先登入目標系統,才有機會成功利用此資訊安全風險獲取較高的權限。
若要以一般性資訊安全風險清單中的標準項目來檢視此資訊安全風險,請參閱 CVE-2013-3660。
緩和因素
Microsoft 尚未找到此項資訊安全風險的任何緩和因素。
因應措施
Microsoft 尚未找到此項資訊安全風險的任何因應措施。
常見問題集
此資訊安全風險的範圍為何? 本資訊安全風險屬於理論上可能被利用的遠端執行程式碼風險。只有成功利用此資訊安全風險的攻擊者,才有機會獲取較高權限。請閱讀下列常見問題集,瞭解此資訊安全風險更完整的資訊。
造成此資訊安全風險的原因為何? 此資訊安全風險是由 Windows 核心模式驅動程式不當處理記憶體中物件所造成。
什麼是 Windows 核心模式驅動程式 (win32k.sys)? Win32k.sys 是一個核心模式裝置驅動程式,為 Windows 子系統的核心組件。其中含有視窗管理員,專門負責:控制視窗顯示、管理螢幕輸出、從鍵盤、滑鼠及其他裝置收集輸入,以及將使用者訊息傳遞至應用程式。此外,也包含圖形裝置介面 (GDI),這是一個圖形輸出裝置的函式庫。最後,也為另一個驅動程式 (dxgkrnl.sys) 中實作的 DirectX 支援提供一層包裝函式。
什麼是 Windows 核心?
Windows 核心是指作業系統核心。它提供系統等級的服務 (例如:裝置管理及記憶體管理)、為處理序分配處理器時間,以及管理錯誤處理。
攻擊者可能會利用此資訊安全風險採取什麼行動? 在多數案例中,成功利用此資訊安全風險的攻擊者可在目標系統上提高權限。
另外,由於記憶體隨機載入之故,成功利用此資訊安全風險的攻擊者雖然理論上可能達到遠端執行程式碼,但實際上不太可能發生。接下來,攻擊者就能安裝程式,檢視、變更或刪除資料,或是建立具有完整系統管理權限的新帳戶。
為什麼此問題造成執行程式碼的機會很低? 試圖利用此問題來執行程式碼的攻擊者,需要將可執行檔內容寫入核心記憶體中的特定空間。但是,由於起始的位址是隨機的,因此最後的指標目的地難以預測。受影響的系統預設皆啟用位址空間隨機載入 (ASLR),因此也讓攻擊者更難以進行預測。在多數案例中,利用此漏洞的程式碼較可能引發的是權限提高,而非執行程式碼。
攻擊者如何利用此資訊安全風險? 有多種方法可讓攻擊者利用此資訊安全風險:
在網頁型攻擊的案例中,攻擊者可以針對這個經由 Internet Explorer 引起的資訊安全風險來設計並架設蓄意製作的網站,然後引誘使用者檢視該網站。攻擊者也可能利用受侵害的網站,以及接受或裝載使用者提供內容或廣告的網站。這些網站可能含有經過蓄意製作並利用此資訊安全風險的內容。但是,攻擊者無法強迫使用者檢視受攻擊者控制的內容, 而是引誘使用者自行前往。一般的做法是設法讓使用者點選電子郵件訊息或 Instant Messenger 中通往攻擊者網站的連結,或開啟經由電子郵件傳送的附件。
在本機攻擊的案例中,攻擊者也可以執行蓄意製作的應用程式,取得受影響系統的完整控制權,以利用此資訊安全風險。但是,攻擊者必須擁有有效的登入認證,並能夠登入本機,才能在此案例中利用此資訊安全風險。
因為此資訊安全風險而承受風險的主要系統有哪些? 工作站的風險最高。
更新的作用何在? 此更新可修正 Windows 處理記憶體中物件的方式,進而解決此資訊安全風險。
本資訊安全公告發行時,此資訊安全風險是否已揭發出來? 是。此資訊安全風險已經遭到公開揭發。這項資訊安全風險已被指派一般性資訊安全風險編號 CVE-2013-3660。
當本資訊安全公告發行時,Microsoft 是否已接獲任何消息,指出此資訊安全風險已遭有心人士利用? 本資訊安全公告初次發行時,Microsoft 並未接獲任何相關消息,指出有人利用本資訊安全風險,達到以遠端執行程式碼的方式攻擊客戶。根據 Microsoft 的瞭解,此資訊安全風險已被用來在目標明確的攻擊中達成提高權限。本資訊安全風險的遠端執行程式碼及權限提高兩種攻擊方式,都在本次更新獲得解決。
套用此安全性更新是否可以保護客戶防範嘗試利用此資訊安全風險的程式碼 (已公開發佈) 之威脅? 是。本資訊安全更新解決透過運用已公開發佈的概念驗證程式碼來加以利用的資訊安全風險。
更新資訊
偵測與部署工具及指南
有幾項資源可協助系統管理員部署資訊安全更新。
- Microsoft Baseline Security Analyzer (MBSA) 能讓系統管理員掃描本機和遠端系統,查看是否遺漏資訊安全更新及一般資訊安全設定錯誤的狀況。
- Windows Server Update Services (WSUS)、Systems Management Server (SMS) 和 System Center Configuration Manager (SCCM) 可協助系統管理員散佈資訊安全更新。
- 應用程式相容性工具組隨附的 Update Compatibility Evaluator 元件可針對所安裝的應用程式簡化其測試和驗證 Windows 更新的過程。
如需上述工具以及其他可使用工具的詳細資訊,請參閱 IT專業人員的資訊安全工具。
資訊安全更新部署
受影響的軟體
如需有關您使用系統的特定資訊安全更新資訊,請按下適當的連結:
Windows XP (所有版本)
參考表
下表包含此軟體的資訊安全更新資訊。
| 資訊安全更新檔案名稱 | 適用於 Windows XP Service Pack 3: WindowsXP-KB2850851-x86-ENU.exe |
| Windows XP Professional x64 Edition Service Pack 2: WindowsServer2003.WindowsXP-KB2850851-x64-ENU.exe |
|
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 262841 |
| 更新記錄檔 | KB2850851.log |
| 重新開機需求 | 是,套用此資訊安全更新之後,您必須重新啟動系統。 |
| 移除資訊 | 使用 [控制台] 中的 [新增或移除程式] 項目,或是 %Windir%\$NTUninstallKB2850851$\Spuninst 資料夾中的 Spuninst.exe 公用程式 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文件編號 2850851 |
| 登錄機碼驗證 | 所有受支援 32 位元版本的 Windows XP: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB2850851\Filelist |
| 所有受支援 x64 型版本的 Windows XP: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP Version 2003\SP3\KB2850851\Filelist |
**注意:**對於受支援版本的 Windows XP Professional x64 Edition 的更新也適用於受支援版本的 Windows Server 2003 x64 Edition。
Windows Server 2003 (所有版本)
參考表
下表包含此軟體的資訊安全更新資訊。
| 資訊安全更新檔案名稱 | 對於所有受支援 32 位元版本的 Windows Server 2003: WindowsServer2003-KB2850851-x86-enu.exe |
| 適用於所有受支援 x64 版本的 Windows Server 2003: WindowsServer2003.WindowsXP-KB2850851-x64-enu.exe |
|
| 對於所有受支援 Itanium 版的 Windows Server 2003:WindowsServer2003-KB2850851-ia64-enu.exe | |
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 262841 |
| 更新記錄檔 | KB2850851.log |
| 重新開機需求 | 是,套用此資訊安全更新之後,您必須重新啟動系統。 |
| 移除資訊 | 使用 [控制台] 中的 [新增或移除程式] 項目,或是 %Windir%\$NTUninstallKB2850851$\Spuninst 資料夾中的 Spuninst.exe 公用程式 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文件編號 2850851 |
| 登錄機碼驗證 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB2850851\Filelist |
| 資訊安全更新檔案名稱 | 所有受支援 32 位元版本的 Windows Vista: Windows6.0-KB2850851-x86.msu |
| 所有受支援 x64 型版本的 Windows Vista: Windows6.0-KB2850851-x64.msu |
|
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 934307 |
| 重新開機需求 | 是,套用此資訊安全更新之後,您必須重新啟動系統。 |
| 移除資訊 | WUSA.exe 不支援更新的解除安裝。如要解除安裝 WUSA 所安裝的更新程式,請按一下 [控制台],然後按一下 [安全性]。在 Windows Update 下,按一下 [檢視安裝的更新] 並從更新清單中選取。 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文件編號 2850851 |
| 登錄機碼驗證 | 注意:登錄機碼不存在,無法驗證此更新是否存在。 |
| 資訊安全更新檔案名稱 | 適用於所有受支援之 32 位元版本的 Windows Server 2008: Windows6.0-KB2850851-x86.msu |
| 適用於所有受支援之 x64 版本的 Windows Server 2008: Windows6.0-KB2850851-x64.msu |
|
| 適用於所有受支援之 Itanium 版本的 Windows Server 2008: Windows6.0-KB2850851-ia64.msu |
|
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 934307 |
| 重新開機需求 | 是,套用此資訊安全更新之後,您必須重新啟動系統。 |
| 移除資訊 | WUSA.exe 不支援更新的解除安裝。如要解除安裝 WUSA 所安裝的更新程式,請按一下 [控制台],然後按一下 [安全性]。在 Windows Update 下,按一下 [檢視安裝的更新] 並從更新清單中選取。 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文件編號 2850851 |
| 登錄機碼驗證 | 注意:登錄機碼不存在,無法驗證此更新是否存在。 |
| 資訊安全更新檔案名稱 | 適用於所有受支援 32 位元版本的 Windows 7: Windows6.1-KB2850851-x86.msu |
| 適用於所有受支援 x64 版本的 Windows 7: Windows6.1-KB2850851-x64.msu |
|
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 934307 |
| 重新開機需求 | 是,套用此資訊安全更新之後,您必須重新啟動系統。 |
| 移除資訊 | 若要解除安裝由 WUSA 所安裝的更新程式,請使用 /Uninstall 安裝參數,或按一下 [控制台] 和 [系統及安全性],然後在 Windows Update 項下,按一下 [檢視安裝的更新] 並從更新清單中選取。 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文件編號 2850851 |
| 登錄機碼驗證 | 注意:登錄機碼不存在,無法驗證此更新是否存在。 |
| 資訊安全更新檔案名稱 | 適用於所有受支援之 x64 版本的 Windows Server 2008 R2: Windows6.1-KB2850851-x64.msu |
| 適用於所有受支援之 Itanium 版本的 Windows Server 2008 R2: Windows6.1-KB2850851-ia64.msu |
|
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 934307 |
| 重新開機需求 | 是,套用此資訊安全更新之後,您必須重新啟動系統。 |
| 移除資訊 | 若要解除安裝由 WUSA 所安裝的更新程式,請使用 /Uninstall 安裝參數,或按一下 [控制台] 和 [系統及安全性],然後在 Windows Update 項下,按一下 [檢視安裝的更新] 並從更新清單中選取。 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文件編號 2850851 |
| 登錄機碼驗證 | 注意:登錄機碼不存在,無法驗證此更新是否存在。 |
| 資訊安全更新檔案名稱 | 所有受支援 32 位元版本的 Windows 8: Windows8-RT-KB2850851-x86.msu |
| 所有受支援 64 位元版本的 Windows 8: Windows8-RT-KB2850851-x64.msu |
|
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 934307 |
| 重新開機需求 | 是,套用此資訊安全更新之後,您必須重新啟動系統。 |
| 移除資訊 | 若要解除安裝由 WUSA 所安裝的更新,請使用 /Uninstall 安裝參數,或依序按一下 [控制台]、[系統及安全性]、[Windows Update],然後按一下 [另請參閱] 下的 [已安裝的更新],然後從更新清單中加以選取。 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文件編號 2850851 |
| 登錄機碼驗證 | 注意:登錄機碼不存在,無法驗證此更新是否存在。 |
| 資訊安全更新檔案名稱 | 所有受支援版本的 Windows Server 2012: Windows8-RT-KB2850851-x64.msu |
| 安裝參數 | 請參閱 Microsoft 知識庫文件編號 934307 |
| 重新開機需求 | 是,套用此資訊安全更新之後,您必須重新啟動系統。 |
| 移除資訊 | 若要解除安裝由 WUSA 所安裝的更新,請使用 /Uninstall 安裝參數,或依序按一下 [控制台]、[系統及安全性]、[Windows Update],然後按一下 [另請參閱] 下的 [已安裝的更新],然後從更新清單中加以選取。 |
| 檔案資訊 | 請參閱 Microsoft 知識庫文件編號 2850851 |
| 登錄機碼驗證 | 注意:登錄機碼不存在,無法驗證此更新是否存在。 |