Microsoft 資訊安全公告 MS15-089 - 重要
WebDAV 中的弱點可能會導致資訊洩漏 (3076949)
發行日期:2015 年 8 月 11 日
版本: 1.0
提要
此安全性更新可解決 Microsoft Windows 中的弱點。如果攻擊者利用啟用安全通訊端層 (SSL) 2.0 的 WebDAV 伺服器強制執行加密 SSL 2.0 工作階段,並使用攔截式 (MiTM) 攻擊來解密加密流量的部分內容,此弱點可能會導致資訊洩漏。
對於所有受支援版本的 Microsoft Windows (Itanium 伺服器和 Windows 10 除外,其不受影響),此安全性更新的等級為「重要」。如需更多資訊,請參閱<受影響的軟體>一節。
此安全性更新可確保 Microsoft 網頁分工編寫及版本管理 (WebDAV) 用戶端將預設值設定為比 SSL 2.0 更安全的通訊協定,因而能解決這項弱點。如需有關此弱點的詳細資訊,請參閱<弱點資訊>一節。
如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章 3076949。
受影響的軟體
下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站。
| **作業系統** | **最大資訊安全影響** | **彙總嚴重性等級** | **取代的更新** |
| **Windows Vista** | |||
| [Windows Vista Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=72970964-7ae3-4dd4-945e-7bb98256cdb8) (3076949) | 資訊洩漏 | 重要 | 無 |
| [Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=e91ce01e-c3c5-419a-b733-1b0c4d97044b) (3076949) | 資訊洩漏 | 重要 | 無 |
| **Windows Server 2008** | |||
| [適用於 32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=893d269e-10c2-4323-b525-30824bf1fde0)[1] (3076949) | 資訊洩漏 | 重要 | 無 |
| [適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=0681ea13-c632-4159-979c-618fdd8bac18)[1] (3076949) | 資訊洩漏 | 重要 | 無 |
| **Windows 7** | |||
| [Windows 7 32 位元系統 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=6c3771d6-a4f2-4782-ae4d-6dec8236f100) (3076949) | 資訊洩漏 | 重要 | 無 |
| [Windows 7 x64 系統 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=8642efc9-6c47-48f5-b091-f9b3d4516224) (3076949) | 資訊洩漏 | 重要 | 無 |
| **Windows Server 2008 R2** | |||
| [適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=4e2a2271-4a59-4a7a-b6a5-a93508294898)[1] (3076949) | 資訊洩漏 | 重要 | 無 |
| **Windows 8 和 Windows 8.1** | |||
| [Windows 8 32 位元系統](https://www.microsoft.com/download/details.aspx?familyid=fcbde248-9eb1-4762-ba48-1288c3b4e120) (3076949) | 資訊洩漏 | 重要 | 無 |
| [Windows 8 x64 系統](https://www.microsoft.com/download/details.aspx?familyid=7f2bee20-7ee5-4b22-8e33-88e198d3dd6e) (3076949) | 資訊洩漏 | 重要 | 無 |
| [Windows 8.1 32 位元系統](https://www.microsoft.com/download/details.aspx?familyid=b1db4693-9353-46a1-a8e9-5ddc50d90037) (3076949) | 資訊洩漏 | 重要 | 無 |
| [Windows 8.1 x64 系統](https://www.microsoft.com/download/details.aspx?familyid=e37e4ecc-b8a1-4af9-9c5b-af7e15f9d560) (3076949) | 資訊洩漏 | 重要 | 無 |
| **Windows Server 2012 和 Windows Server 2012 R2** | |||
| [Windows Server 2012](https://www.microsoft.com/download/details.aspx?familyid=65d3224c-b2d4-4882-87ef-c7a8a7b98c04)[1] (3076949) | 資訊洩漏 | 重要 | 無 |
| [Windows Server 2012 R2](https://www.microsoft.com/download/details.aspx?familyid=1b74ff7b-2fb5-45a8-81a3-ecab643ec716)[1] (3076949) | 資訊洩漏 | 重要 | 無 |
| **Windows RT 和 Windows RT 8.1** | |||
| Windows RT[2] (3076949) | 資訊洩漏 | 重要 | 無 |
| Windows RT 8.1[2] (3076949) | 資訊洩漏 | 重要 | 無 |
[2]更新僅透過 Windows Update 提供。
嚴重性等級和弱點識別碼
下列嚴重性等級是假設弱點可能造成的最嚴重影響而評定。在本安全性公告發行的 30 天內,如需弱點之易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊,請參閱 8 月份公告摘要中的<弱點索引>。
| **依受影響軟體列出的弱點嚴重性等級和最大安全性影響** | ||
| **受影響的軟體** | [**WebDAV 用戶端資訊洩漏弱點 - CVE-2015-2476**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2476) | **彙總嚴重性等級** |
| **Windows Vista** | ||
| Windows Vista Service Pack 2 (3076949) | **重要** 資訊洩漏 | **重要** |
| Windows Vista x64 Edition Service Pack 2 (3076949) | **重要** 資訊洩漏 | **重要** |
| **Windows Server 2008** | ||
| 32 位元系統的 Windows Server 2008 Service Pack 2 (3076949) | **重要** 資訊洩漏 | **重要** |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (3076949) | **重要** 資訊洩漏 | **重要** |
| **Windows 7** | ||
| Windows 7 32 位元系統 Service Pack 1 (3076949) | **重要** 資訊洩漏 | **重要** |
| Windows 7 x64 系統 Service Pack 1 (3076949) | **重要** 資訊洩漏 | **重要** |
| **Windows Server 2008 R2** | ||
| Windows Server 2008 R2 x64 系統 Service Pack 1 (3076949) | **重要** 資訊洩漏 | **重要** |
| **Windows 8 和 Windows 8.1** | ||
| Windows 8 32 位元系統 (3076949) | **重要** 資訊洩漏 | **重要** |
| Windows 8 x64 系統 (3076949) | **重要** 資訊洩漏 | **重要** |
| Windows 8.1 32 位元系統 (3076949) | **重要** 資訊洩漏 | **重要** |
| Windows 8.1 x64 系統 (3076949) | **重要** 資訊洩漏 | **重要** |
| **Windows Server 2012 和 Windows Server 2012 R2** | ||
| Windows Server 2012 (3076949) | **重要** 資訊洩漏 | **重要** |
| Windows Server 2012 R2 (3076949) | **重要** 資訊洩漏 | **重要** |
| **Windows RT 和 Windows RT 8.1** | ||
| Windows RT (3076949) | **重要** 資訊洩漏 | **重要** |
| Windows RT 8.1 (3076949) | **重要** 資訊洩漏 | **重要** |
WebDAV 用戶端資訊洩漏弱點 - CVE-2015-2476
當 Microsoft 網頁分工編寫及版本管理 (WebDAV) 用戶端明確允許使用安全通訊端層 (SSL) 2.0 時,會導致其出現資訊洩漏弱點。成功利用此弱點的攻擊者可將部份的加密流量解密。
若要利用此弱點,攻擊者可以利用啟用 SSL 2.0 的 WebDAV 伺服器強制執行加密 SSL 2.0 工作階段,並使用攔截式 (MiTM) 攻擊將部份的加密流量解密。此安全性更新可確保 Microsoft WebDAV 用戶端將預設值設定為比 SSL 2.0 更安全的通訊協定,因而能解決這項弱點。
Microsoft 是經由協同合作的來源接獲有關此弱點的訊息。本資訊安全公告初次發行時,Microsoft 尚未接到任何有關本弱點已公開用來攻擊客戶的消息。
緩和因素
Microsoft 尚未找到此項弱點的任何緩和因素。
因應措施
Microsoft 尚未找到此項弱點的任何因應措施。
安全性更新部署
如需安全性更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。
致謝
Microsoft 了解資訊安全業界所做的努力,其盡責地透露弱點來協助我們保護客戶。請參閱致謝 (英文) 以取得詳細資訊。
免責聲明
Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。
修訂
- V1.0 (2015 年 8 月 11 日):公告發行。
頁面產生時間:2015-08-05 12:48Z-07:00。