Microsoft 資訊安全公告 MS14-071 - 重要
Windows 音訊服務中的資訊安全風險可能會允許權限提高 (3005607)
發行日期:2014 年 11 月 11 日
版本: 1.0
提要
這個安全性更新可解決 Microsoft Windows 中一項未公開報告的弱點。如果應用程式使用 Microsoft Windows 音訊服務,此資訊安全風險可能允許提高權限。此資訊安全風險本身不會允許執行任意程式碼。此資訊安全風險必須搭配其他允許遠端執行程式碼的資訊安全風險使用。
對於所有受支援版本的 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 和 Windows RT 8.1,此資訊安全更新的等級為「重要」。如需更多資訊,請參閱<受影響的軟體>一節。
此資訊安全更新可將其他的權限驗證新增至 Microsoft Windows 音訊服務元件,藉此解決這項資訊安全風險。如需更多有關此資訊安全風險的資訊,請參閱特定資訊安全風險的<常見問題集 (FAQ)>小節。
如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文件編號 3005607。
受影響的軟體
下列軟體已經過測試判斷哪些版號或版本會受到影響。其他版本超過它們的支援週期或不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站。
受影響的軟體
| **作業系統** | **最大安全性影響** | **彙總嚴重性等級** | **已取代更新** |
| **Windows Vista** | |||
| [Windows Vista Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=44817) (3005607) | 權限提高 | 重要說明 | 無 |
| [Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=44749) (3005607) | 權限提高 | 重要說明 | 無 |
| **Windows Server 2008** | |||
| [適用於 32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=44819) (3005607) | 權限提高 | 重要說明 | 無 |
| [適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=44834) (3005607) | 權限提高 | 重要說明 | 無 |
| [適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/en-us/download/details.aspx?id=44756) (3005607) | 權限提高 | 重要說明 | 無 |
| **Windows 7** | |||
| [適用於 32 位元系統的 Windows 7 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=44790) (3005607) | 權限提高 | 重要說明 | 無 |
| [適用於 x64 型系統的 Windows 7 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=44729) (3005607) | 權限提高 | 重要說明 | 無 |
| **Windows Server 2008 R2** | |||
| [適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=44778) (3005607) | 權限提高 | 重要說明 | 無 |
| [適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=6320be6f-1ec0-418b-8daf-d128a94acfa7) (3005607) | 權限提高 | 重要說明 | 無 |
| **Windows 8 和 Windows 8.1** | |||
| [Windows 8 32 位元系統](https://www.microsoft.com/zh-tw/download/details.aspx?id=44730) (3005607) | 權限提高 | 重要說明 | 無 |
| [適用於 x64 型系統的 Windows 8](https://www.microsoft.com/zh-tw/download/details.aspx?id=44777) (3005607) | 權限提高 | 重要說明 | 無 |
| [Windows 8.1 32 位元系統](https://www.microsoft.com/zh-tw/download/details.aspx?id=44820) (3005607) | 權限提高 | 重要說明 | 無 |
| [適用於 x64 型系統的 Windows 8.1](https://www.microsoft.com/zh-tw/download/details.aspx?id=44799) (3005607) | 權限提高 | 重要說明 | 無 |
| **Windows Server 2012 和 Windows Server 2012 R2** | |||
| [Windows Server 2012](https://www.microsoft.com/zh-tw/download/details.aspx?id=44832) (3005607) | 權限提高 | 重要說明 | 無 |
| [Windows Server 2012 R2](https://www.microsoft.com/zh-tw/download/details.aspx?id=44725) (3005607) | 權限提高 | 重要說明 | 無 |
| **Windows RT 和 Windows RT 8.1** | |||
| Windows RT[1] (3005607) | 權限提高 | 重要說明 | 無 |
| Windows RT 8.1[1] (3005607) | 權限提高 | 重要說明 | 無 |
嚴重性等級和弱點識別碼
下列嚴重性等級是假設弱點可能造成的最嚴重影響而評定。在本安全性公告發行的 30 天內,如需弱點易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊,請參閱 11 月份公告摘要中的<弱點索引>。
| **依受影響軟體列出的弱點嚴重性等級和最大安全性影響** | ||
| **受影響的軟體** | [**Windows 音訊服務資訊安全風險 - CVE-2014-6322**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-6322) | **彙總嚴重性等級** |
| **Windows Vista** | ||
| [Windows Vista Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| [Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| **Windows Server 2008** | ||
| [適用於 32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| [適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| [適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| **Windows 7** | ||
| [適用於 32 位元系統的 Windows 7 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| [適用於 x64 型系統的 Windows 7 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| **Windows Server 2008 R2** | ||
| [適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| [適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| **Windows 8 和 Windows 8.1** | ||
| [Windows 8 32 位元系統](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| [適用於 x64 型系統的 Windows 8](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| [Windows 8.1 32 位元系統](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| [適用於 x64 型系統的 Windows 8.1](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| **Windows Server 2012 和 Windows Server 2012 R2** | ||
| [Windows Server 2012](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| [Windows Server 2012 R2](https://www.microsoft.com/download/details.aspx?familyid=?...?) (3005607) | **重要** 權限提高 | **重要說明** |
| **Windows RT 和 Windows RT 8.1** | ||
| Windows RT (3005607) | **重要** 權限提高 | **重要說明** |
| Windows RT 8.1 (3005607) | **重要** 權限提高 | **重要說明** |
Windows 音訊服務資訊安全風險 - CVE-2014-6322
Windows 音訊服務元件中存在權限提高資訊安全風險。此資訊安全風險導因於 Microsoft Windows 音訊服務於特定情況下無法正確驗證權限,而這可能會允許以提高的權限執行指令碼。Microsoft 是經由協同合作的來源接獲有關此資訊安全風險的訊息。本資訊安全公告發行時,Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。此更新可將其他的權限驗證新增至 Microsoft Windows 音訊服務元件,藉此解決這項資訊安全風險。
緩和因素
下列緩和因素可能對您的狀況有所助益:
- 此資訊安全風險本身不會允許執行任意程式碼。此資訊安全風險必須搭配其他允許遠端執行程式碼的資訊安全風險使用。例如,攻擊者可利用另一個資訊安全風險透過 Internet Explorer 執行任意程式碼,但由於程序在該內容中是由 Internet Explorer 啟動,因此會限制以較低的完整性層級 (即為有限的權限) 執行程式碼。但是,攻擊者隨後可利用此資訊安全風險而以中等完整性層級 (目前使用者的權限) 執行任意程式碼。
因應措施
Microsoft 尚未找到此項資訊安全風險的任何因應措施。
常見問題集
攻擊者可能會利用這項弱點採取什麼行動?
在 Windows 音訊服務中成功利用此資訊安全風險的攻擊者可以在受影響的系統上提高權限。
此資訊安全風險本身不會允許執行任意程式碼。但是,此資訊安全風險可能用來搭配另一個資訊安全風險 (例如,遠端執行程式碼的資訊安全風險),而後者可能會利用提高的權限嘗試執行任意程式碼。
攻擊者如何利用這項弱點?
有一個可能的攻擊案例,即攻擊者可能會架設網站來嘗試利用此資訊安全風險。此外,受侵害的網站以及接受或存放使用者提供之內容的網站裡,也可能包含蓄意製作以利用本資訊安全風險的內容。但在此案例中,攻擊者無法強迫使用者檢視受攻擊者控制的內容,而是必須引誘使用者採取行動。例如,攻擊者可利用其他資訊安全風險,透過 Internet Explorer 執行任意程式碼。攻擊者隨後可利用此資訊安全風險而以中等完整性層級 (目前使用者的權限) 執行任意程式碼。
資訊安全更新部署
如需資訊安全更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。
感謝
Microsoft 了解資訊安全業界所做的努力,其盡責地透露資訊安全風險來協助我們保護客戶。請參閱認可 (英文) 以取得詳細資訊。
免責聲明
Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。
日期
- V1.0 (2014 年 11 月 11 日):公告發行。
頁面產生時間:2014-11-05 17:05Z-08:00。