Microsoft 資訊安全公告 MS15-039 - 重要

XML Core Services 中的資訊安全風險可能會允許資訊安全功能略過 (3046482)

發行日期:2015 年 4 月 14 日

版本: 1.0

提要

此安全性更新可解決 Microsoft Windows 中的資訊安全風險。如果使用者按下蓄意製作的連結,此資訊安全風險可能會允許資訊安全功能略過。但是,在所有情況下,攻擊者可能無法強制使用者按下蓄意製作的連結;攻擊者必須引誘使用者按下連結,一般是藉助電子郵件附件或 Instant Messenger 訊息。

對於所有受支援版本的 Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2,此 Microsoft XML Core Services 3.0 安全性更新的等級為「重要」。如需更多資訊,請參閱<受影響的軟體>一節。

此安全性更新藉由修改 Microsoft XML Core Services 在文件類型宣告 (DTD) 案例中強制執行相同來源原則的方式,以解決此資訊安全風險。如需更多有關此資訊安全風險的資訊,請參閱特定資訊安全風險的<常見問題集 (FAQ)>小節。

如需本文件的更多資訊,請參閱知識庫文件編號 3046482 (英文)。

受影響的軟體

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站

**作業系統** **元件** **最大資訊安全影響** **彙總嚴重性等級** **取代的更新**
**Windows Server 2003**
[Windows Server 2003 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=fec9dcee-36a3-4238-adfe-4f9683158414) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
[Windows Server 2003 x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=736957a8-8545-4bf0-86e4-787d04c72fd2) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
[適用於 Itanium 型系統的 Windows Server 2003 SP2](https://www.microsoft.com/download/details.aspx?familyid=ffaf5f9b-7bea-4b0b-9451-64ce9e05d6bd) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
**Windows Vista**
[Windows Vista Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=bb8575fc-346c-478f-9d72-0676fbb4c20b) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
[Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=463571ea-11db-4788-a333-e6dccbc15cfe) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
**Windows Server 2008**
[32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=1ab3a73e-d1c0-460e-bd54-5b4e414ddb3f) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
[適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=fd8db53b-a17e-4848-9c03-396fe0be3b06) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
[Itanium 系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=bc89572d-d625-4c80-b819-5a7d7eb2c096) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
**Windows 7**
[Windows 7 32 位元系統 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=d402b549-6b4a-414c-abe1-91d9ee872caa) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
[Windows 7 x64 系統 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=0d7e8f13-22c2-4869-ab9b-55795e5e8e01) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
**Windows Server 2008 R2**
[Windows Server 2008 R2 x64 系統 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=3c1a9b4a-8891-4339-a145-b612ee6c6f05) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
[適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=e12daff3-d161-4145-9cee-ba1f82f489d9) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
**Server Core 安裝選項**
[適用於 32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=1ab3a73e-d1c0-460e-bd54-5b4e414ddb3f) (Server Core 安裝) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
[適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=fd8db53b-a17e-4848-9c03-396fe0be3b06) (Server Core 安裝) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958
[適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=3c1a9b4a-8891-4339-a145-b612ee6c6f05) (Server Core 安裝) (3046482) Microsoft XML Core Services 3.0 資訊安全功能略過 重要 [MS14-067](https://technet.microsoft.com/zh-tw/library/security/ms14-067) 中的 2993958

更新常見問題集

我的系統上安裝的 Microsoft XML Core Services 是什麼版本? 某些版本的 Microsoft XML Core Services 隨附於 Microsoft Windows 中;其他則是與 Microsoft 或協力廠商供應商的非作業系統軟體一起安裝。某些版本有提供獨立下載。下表顯示支援版本的 Microsoft Windows,並指出作業系統隨附哪些 Microsoft XML Core Services 版本,以及哪些版本會與其他 Microsoft 或協力廠商的軟體一起安裝。

作業系統 MSXML 3.0 與 MSXML 6.0 MSXML 4.0 與 MSXML 5.0
Windows Server 2003 MSXML 3.0 隨附於作業系統。MSXML 4.0 與其他軟體一起安裝。 與其他軟體一起安裝
Windows Vista 隨附於作業系統 與其他軟體一起安裝
Windows Server 2008 隨附於作業系統 與其他軟體一起安裝
Windows 7 隨附於作業系統 與其他軟體一起安裝
Windows Server 2008 R2 隨附於作業系統 與其他軟體一起安裝
Windows 8 隨附於作業系統 與其他軟體一起安裝
Windows Server 2012 隨附於作業系統 與其他軟體一起安裝
Windows RT 隨附於作業系統 MSXML4.0 與其他軟體一起安裝。MSXML5.0 不適用。
Windows 8.1 隨附於作業系統 與其他軟體一起安裝
Windows Server 2012 R2 隨附於作業系統 與其他軟體一起安裝
Windows RT 8.1 隨附於作業系統 MSXML4.0 與其他軟體一起安裝。MSXML5.0 不適用。
**注意** 如需更多有關 Microsoft 支援的版本詳細資訊,請參閱 [Microsoft 知識庫文件編號 269238](https://support.microsoft.com/zh-tw/kb/269238)。 **MSXML 3.0 隨附 Windows 8 和更新版本的作業系統;為什麼他們不會受到影響?** 雖然 MSXML 3.0 隨附 Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1,但這些作業系統已包含可解決此公告討論之資訊安全風險的修正程式。 嚴重性等級和資訊安全風險識別碼 ------------------------------ 下列嚴重性等級是假設資訊安全風險可能造成的最嚴重影響而評定。在本安全性公告發行的 30 天內,如需弱點之易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊,請參閱 [4 月份公告摘要](https://technet.microsoft.com/zh-tw/library/security/ms14-apr)中的<弱點索引>。

**依受影響軟體列出的資訊安全風險嚴重性等級和最大安全性影響**
**受影響的軟體** [**MSXML3 相同來源原則 SFB 資訊安全風險 -CVE-2015-1646**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1646) **彙總嚴重性等級**
**Windows Server 2003**
Windows Server 2003 Service Pack 2 (3046482) **重要** 資訊安全功能略過 **重要**
Windows Server 2003 x64 Edition Service Pack 2 (3046482) **重要** 資訊安全功能略過 **重要**
適用於 Itanium 型系統的 Windows Server 2003 SP2 (3046482) **重要** 資訊安全功能略過 **重要**
**Windows Vista**
Windows Vista Service Pack 2 (3046482) **重要** 資訊安全功能略過 **重要**
Windows Vista x64 Edition Service Pack 2 (3046482) **重要** 資訊安全功能略過 **重要**
**Windows Server 2008**
32 位元系統的 Windows Server 2008 Service Pack 2 (3046482) **重要** 資訊安全功能略過 **重要**
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (3046482) **重要** 資訊安全功能略過 **重要**
Itanium 系統的 Windows Server 2008 Service Pack 2 (3046482) **重要** 資訊安全功能略過 **重要**
**Windows 7**
Windows 7 32 位元系統 Service Pack 1 (3046482) **重要** 資訊安全功能略過 **重要**
Windows 7 x64 系統 Service Pack 1 (3046482) **重要** 資訊安全功能略過 **重要**
**Windows Server 2008 R2**
Windows Server 2008 R2 x64 系統 Service Pack 1 (3046482) **重要** 資訊安全功能略過 **重要**
適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1 (3046482) **重要** 資訊安全功能略過 **重要**
**Server Core 安裝選項**
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) (3046482) **重要** 資訊安全功能略過 **重要**
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) (3046482) **重要** 資訊安全功能略過 **重要**
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) (3046482) **重要** 資訊安全功能略過 **重要**

資訊安全風險資訊

MSXML3 相同來源原則 SFB 資訊安全風險 -CVE-2015-1646

Microsoft XML Core Services (MSXML) (英文) 中存在相同來源原則 (英文) 資訊安全功能略過資訊安全風險,因此可在文件類型宣告 (DTD) 中執行跨網域資料存取。成功利用這項資訊安全風險的攻擊者可存取敏感的使用者資訊,例如使用者名稱或密碼,以及硬碟上的檔案。

若是電子郵件攻擊,攻擊者可能會利用這項資訊安全風險,向使用者傳送蓄意製作的連結,然後引誘使用者點按該連結。在網頁型攻擊案例中,攻擊者可能會架設網站來嘗試利用該資訊安全風險。但是,在所有情況下,攻擊者可能無法強制使用者開啟蓄意製作的連結;攻擊者必須引誘使用者按下連結,一般是藉助電子郵件附件或 Instant Messenger 訊息。

此更新藉由修改 DTD 案例中 Microsoft XML Core Services 強制執行相同來源原則的方式,以解決此資訊安全風險。

Microsoft 是經由協同合作的來源接獲有關此資訊安全風險的訊息。本資訊安全公告發行時,Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。

緩和因素

Microsoft 尚未找到此項資訊安全風險的任何緩和因素

因應措施

Microsoft 尚未找到此項資訊安全風險的任何因應措施

安全性更新部署

如需安全性更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。

致謝

Microsoft 了解資訊安全業界所做的努力,其盡責地透露資訊安全風險來協助我們保護客戶。請參閱致謝 (英文) 以取得詳細資訊。

免責聲明

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

  • V1.0 (2015 年 4 月 14 日):公告發行。

頁面產生時間:08.04.15 12:16Z-07:00。