安全性布告欄
Microsoft 安全性公告 MS02-049 - 中度
瑕疵可讓網頁在沒有警告的情況下啟動 Visual FoxPro 6.0 應用程式(Q326568)
發佈時間: 2004 年 9 月 4 日
版本: 1.0
最初張貼: 2002 年 9 月 4 日
摘要
神秘 應閱讀此公告:使用 Microsoft® Visual FoxPro 6.0 的客戶
弱點的影響: 攻擊者可以控制用戶的系統。
最大嚴重性評等: 中度。
建議: 使用 Visual FoxPro 6.0 的客戶應立即安裝修補程式。
受影響的軟體:
- Microsoft Visual FoxPro 6.0
一般資訊
技術詳細資料
技術描述:
一般而言,當產品安裝時,應該向 Internet Explorer 註冊本身。 這可讓產品指定 Internet Explorer 在從網頁參考時應該如何處理與其相關聯的檔案,例如,它可讓產品指定使用者是否應該在開啟這類檔案之前顯示警告對話。
Visual FoxPro 6.0 不會執行此註冊,這會產生網頁可以自動啟動 Visual FoxPro 應用程式的情況(也就是.app檔案)。 在大部分情況下,這不會產生安全性弱點,因為Visual FoxPro 6.0評估檔名的方式,FoxPro本身可能會啟動,但通常不會執行.app檔案。 不過,如果應用程式檔名是以特定方式建構的,則第二個錯誤(與 Visual FoxPro 6.0 評估應用程式檔名的方式相關聯)不僅可以啟動 FoxPro,而且允許應用程式執行。
藉由建立參考 Visual FoxPro 應用程式的網頁,並在網站上裝載它,或以 HTML 郵件的形式傳送給使用者,即可利用此弱點。 如果使用者已安裝 Visual FoxPro 6.0 -或已安裝包含 Visual FoxPro 6.0 執行時間的產品,並以特定方式建構應用程式的檔名,則應用程式會執行。 這可讓應用程式不僅詢問資料庫,還能在使用者的安全性內容中發出系統命令。
緩和因素:
- 只有在系統上安裝 Visual FoxPro 6.0(或 Visual FoxPro 6.0 運行時間)時,才能惡意探索此弱點。 其他產品和其他 Visual FoxPro 版本不會受到弱點的影響。
- 應用程式可能獲得的最大許可權是用戶的許可權。 如果使用者在較不具特殊許可權的內容中作業,則會限制應用程式可能造成的損害。
嚴重性評等:
| 因特網伺服器 | 內部網路伺服器 | 用戶端系統 | |
|---|---|---|---|
| Visual FoxPro 6.0 | 低 | 低 | 中等 |
上述 評估 是根據受弱點影響的系統類型、其一般部署模式,以及惡意探索弱點會對它們產生的影響。
弱點標識碼:CAN-2002-0696
測試版本:
Microsoft 測試了 Visual FoxPro 6.0 和 7.0,以評估它們是否受到這些弱點的影響。 舊版不再 受到支援,而且可能會或可能不會受到這些弱點的影響。
常見問題集
弱點的範圍為何?
此弱點可讓攻擊者在另一位用戶的系統上執行 Visual FoxPro 應用程式。 如此一來,攻擊者就能夠採取任何動作,包括載入和執行程序、改變系統上的數據、重新格式化硬碟等等。
只有在有兩個條件時,才能惡意探索此弱點:
- Visual FoxPro 6.0 版(或另一個安裝 Visual FoxPro 6.0 部分的產品,如下所述)安裝在系統上。 沒有其他產品,也沒有其他版本的FoxPro受到弱點的影響。
- 應用程式的檔名具有特定的特殊建構。
造成弱點的原因為何?
弱點結果,因為 Visual FoxPro 應用程式可以從網頁啟動,而不會對用戶產生警告。
什麼是 Visual FoxPro?
Visual FoxPro 是面向物件的資料庫管理系統,可針對桌面或 Web 開發資料庫解決方案。 此處有問題的Visual FoxPro版本6.0隨附為獨立產品和Visual Studio 6.0的一部分。
什麼是 Visual FoxPro 應用程式?
在 Visual FoxPro 中,與大多數資料庫系統一樣,可以撰寫可自動存取資料庫的應用程式。 這類應用程式不僅可以詢問資料庫,還可以根據設計,對用戶的系統採取動作。
處理 Visual FoxPro 應用程式的方式有什麼問題?
有兩個問題結合來建立弱點。 第一個是Visual FoxPro 6.0不會向Internet Explorer 註冊自己。 每當產品安裝時,應該向 Internet Explorer 註冊,並指出與應用程式相關聯的檔案是否可以自動開啟,或在開啟之前要求使用者核准。 不過,Visual FoxPro 6.0 不會這麼做。
在大部分情況下,這不會造成安全性弱點。 在絕大多數情況下,開啟 Visual FoxPro 應用程式的唯一效果就是啟動 Visual FoxPro,但實際上不會執行應用程式。 不過,如果應用程式的檔名是以特定方式建構,則會導致 Visual FoxPro 解譯和執行應用程式。
此弱點可讓攻擊者執行哪些動作?
此弱點可讓攻擊者在另一使用者的系統上啟動 Visual FoxPro 應用程式,之後應用程式可以採取使用者獲授權對系統採取的任何動作。
攻擊者如何利用弱點?
攻擊者必須建立可叫用 Visual FoxPro 應用程式的網頁,並在網站上裝載頁面,或以 HTML 郵件的形式傳送給其他使用者。 在任一情況下,如果使用者開啟該頁面,並在系統上安裝Visual FoxPro 6.0,應用程式將會啟動而不發出警告
我的系統上沒有安裝 Visual FoxPro。 我有任何風險嗎?
只有在已安裝 Visual FoxPro,特別是 Visual FoxPro 6.0 版時,才能惡意探索此弱點。 不過,請務必注意,有兩種方式可以安裝。 最常見的方式就是在您的系統上安裝 Visual FoxPro 6.0 產品。
但第三方產品也可以內嵌 Visual FoxPro 6.0 運行時間,基本上是核心資料庫引擎,而不需要任何支援的功能集。 如果您已安裝這類產品,也可能容易受到攻擊。
哪些第三方產品會安裝 Visual FoxPro 6.0 運行時間?
不可能說。 運行時間內嵌於公司為內部用途以及商業產品所撰寫的一些應用程式。 如果您認為您可能會使用這類產品,您可以藉由搜尋系統上的下列任何檔案來判斷 Visual FoxPro 6.0 運行時間是否存在:vfp6r.dll、vfp6t.dll或vfp6run.exe。 如果有的話,Visual FoxPro 6.0 會安裝在您的系統上,您需要修補程式。
我已在系統上安裝 Visual FoxPro 7.0。 我有任何風險嗎?
否。 此弱點只會影響 Visual FoxPro 6.0。
我曾經在系統上有 Visual FoxPro 6.0,但我已升級至 7.0 版。 我有任何風險嗎?
否。 升級至 7.0 版可消除弱點。 即使您確實執行並存安裝 ,亦即,如果您已在系統上已安裝 6.0 版的系統上安裝 7.0 版,但已選取保留系統上這兩個版本,也是如此。
是否有任何方法可以消除安裝修補程式以外的弱點?
是。 回想一下,弱點會導致部分原因,因為Visual FoxPro 6.0不會告訴Internet Explorer 如何處理Visual FoxPro 應用程式。 您可以透過下列程式手動執行此動作:
- 開啟 控制台
- 選取 [工具],然後選取 [資料夾選項]
- 按兩下 [檔案類型] 索引標籤
- 在標題為 「已註冊檔類型」的捲動方塊中,選取 [APP] 擴展名。 (如果清單中沒有此延伸模組,表示您未安裝 Visual FoxPro)。
- 按兩下 [進階]
- 選取 [下載后確認開啟]。
- 按 [確定] 以關閉 [編輯檔案類型] 對話框
- 按 [確定] 關閉 [檔案選項] 對話框
- 關閉 控制台
修補程式有何用途?
修補程式會向 Internet Explorer 註冊 Visual FoxPro 應用程式 (.app) 檔案,並移除允許評估並啟動特定檔名的程式代碼缺陷。
修補程式可用性
下載此修補程式的位置
Microsoft Visual FoxPro 6.0:
此修補程式的其他資訊
安裝平臺:
此修補程式可以安裝在執行 Visual FoxPro 6.0 的系統上。 沒有 Service Pack 需求。
包含在未來的 Service Pack 中:
Visual FoxPro 6.0 沒有計劃其他 Service Pack。
需要重新啟動: 否
可以卸載修補程式: 否
取代的修補程式: 無。
確認修補程式安裝:
若要確認電腦上已安裝修補程式,請確認電腦上已建立下列登錄機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\VFPODBC\Q326568
若要驗證個別檔案,請使用知識庫文章中檔案指令清單中提供的日期/時間和版本資訊Q326568
警告:
- 修補程式的當地語系化版本在 EULA 和完成對話框中包含次要錯誤,這會導致兩者都顯示隨機字元。 這些錯誤不會影響修補程式的有效性,它們只會顯示錯誤。 Microsoft 將發行不久更新的修補程式版本,這些修補程式不包含錯誤。
當地語系化:
此修補程式的當地語系化版本可在「修補程式可用性」中討論的位置取得。
取得其他安全性修補程式:
其他安全性問題的修補程式可從下列位置取得:
- 安全性修補程式可從 Microsoft 下載中心取得,而且透過搜尋 「security_patch」 關鍵詞,即可輕鬆找到。
- 取用者平臺的修補程式可從 WindowsUpdate 網站取得
其他資訊:
確認
Microsoft 感謝 來自 Instituto Seguridad Internet 的 Cristobal Bielza 和 Juan Carlos G. Cuartango,https://www.instisec.com感謝我們向我們報告此問題,並與我們合作保護客戶。
支援:
- Microsoft 知識庫文章Q326568討論此問題,並將於本公告發行后的大約 24 小時提供。 您可以在 Microsoft Online 支援網站上找到知識庫文章。
- Microsoft產品支援服務提供技術支援。 與安全性修補程式相關聯的支援呼叫不收取任何費用。
安全性資源:Microsoft TechNet 安全性網站提供 Microsoft 產品中安全性的其他資訊。
免責聲明:
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
變更:
- V1.0 (2002 年 9 月 4 日):布告欄建立。
建置於 2014-04-18T13:49:36Z-07:00