MSRC ppDocument 模板

Microsoft 安全公告 MS15-020 - 严重

Microsoft Windows 中的漏洞可能允许远程执行代码 (3041836)

发布日期:2015 年 3 月 10 日 | 更新日期:2015-3-10

版本: 1.1

执行摘要

此安全更新可修复 Microsoft Windows 中的漏洞。如果攻击者成功诱使用户浏览经特殊设计的网站、打开经特殊设计的文件或在包含经特殊设计的 DLL 文件的工作目录中打开文件,则漏洞可能会允许远程执行代码。

对于 Microsoft Windows 所有受支持的版本,此安全更新的等级为“严重”。有关详细信息,请参阅“受影响的软件”部分。

此安全更新可通过修正 Microsoft 文字服务处理内存对象的方式以及 Microsoft Windows 处理 DLL 文件加载的方式解决漏洞。有关这些漏洞的详细信息,请参阅“漏洞信息”一节。

有关此更新的详细信息,请参阅 Microsoft 知识库文章 3041836

受影响的软件

以下软件版本都受到影响。未列出的版本的支持生命周期已结束或者不受影响。要确定软件版本的技术支持生命周期,请参阅 Microsoft 技术支持生命周期

操作系统

最大安全影响

综合严重等级

替代的更新

Windows Server 2003

Windows Server 2003 Service Pack 2
(3033889)

远程执行代码

严重

Windows Server 2003 Service Pack 2
(3039066)

远程执行代码

严重

MS12-048 中的 2691442

Windows Server 2003 x64 Edition Service Pack 2
(3033889)

远程执行代码

严重

Windows Server 2003 x64 Edition Service Pack 2
(3039066)

远程执行代码

严重

MS12-048 中的 2691442

Windows Server 2003 SP2(用于基于 Itanium 的系统)
(3033889)

远程执行代码

严重

Windows Server 2003 SP2(用于基于 Itanium 的系统)
(3039066)

远程执行代码

严重

MS12-048 中的 2691442

Windows Vista

Windows Vista Service Pack 2
(3033889)

远程执行代码

严重

Windows Vista Service Pack 2
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows Vista x64 Edition Service Pack 2
(3033889)

远程执行代码

严重

Windows Vista x64 Edition Service Pack 2
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows Server 2008

Windows Server 2008(用于 32 位系统)Service Pack 2
(3033889)

远程执行代码

严重

Windows Server 2008(用于 32 位系统)Service Pack 2
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows Server 2008(用于基于 x64 的系统)Service Pack 2
(3033889)

远程执行代码

严重

Windows Server 2008(用于基于 x64 的系统)Service Pack 2
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
(3033889)

远程执行代码

严重

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows 7

Windows 7(用于 32 位系统)Service Pack 1
(3033889)

远程执行代码

严重

Windows 7(用于 32 位系统)Service Pack 1
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows 7(用于基于 x64 的系统)Service Pack 1
(3033889)

远程执行代码

严重

Windows 7(用于基于 x64 的系统)Service Pack 1
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows Server 2008 R2

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
(3033889)

远程执行代码

严重

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
(3033889)

远程执行代码

严重

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows 8 和 Windows 8.1

Windows 8(用于 32 位系统)
(3033889)

远程执行代码

严重

Windows 8(用于 32 位系统)
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows 8(用于基于 x64 的系统)
(3033889)

远程执行代码

严重

Windows 8(用于基于 x64 的系统)
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows 8.1(用于 32 位系统)
(3033889)

远程执行代码

严重

Windows 8.1(用于 32 位系统)
(3039066)

远程执行代码

严重

MS14-027 中的 2926765 和 2962123

Windows 8.1(用于基于 x64 的系统)
(3033889)

远程执行代码

严重

Windows 8.1(用于基于 x64 的系统)
(3039066)

远程执行代码

严重

MS14-027 中的 2926765 和 2962123

Windows Server 2012 和 Windows Server 2012 R2

Windows Server 2012
(3033889)

远程执行代码

严重

Windows Server 2012
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows Server 2012 R2
(3033889)

远程执行代码

严重

Windows Server 2012 R2
(3039066)

远程执行代码

严重

MS14-027 中的 2926765 和 2962123

Windows RT 和 Windows RT 8.1

Windows RT[1]
(3033889)

远程执行代码

严重

Windows RT[1]
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows RT 8.1[1]
(3033889)

远程执行代码

严重

Windows RT 8.1[1]
(3039066)

远程执行代码

严重

MS14-027 中的 2926765 和 2962123

服务器核心安装选项

Windows Server 2008(用于 32 位系统)Service Pack 2(服务器核心安装)
(3033889)

远程执行代码

严重

Windows Server 2008(用于 32 位系统)Service Pack 2(服务器核心安装)
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows Server 2008(用于基于 x64 的系统)Service Pack 2(服务器核心安装)
(3033889)

远程执行代码

严重

Windows Server 2008(用于基于 x64 的系统)Service Pack 2(服务器核心安装)
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)
(3033889)

远程执行代码

严重

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows Server 2012(服务器核心安装)
(3033889)

远程执行代码

严重

Windows Server 2012(服务器核心安装)
(3039066)

远程执行代码

严重

MS14-027 中的 2926765

Windows Server 2012 R2(服务器核心安装)
(3033889)

远程执行代码

严重

Windows Server 2012 R2(服务器核心安装)
(3039066)

远程执行代码

严重

MS14-027 中的 2926765 和 2962123

注意 此更新适用于 Windows Technical Preview 和 Windows Server Technical Preview。鼓励运行这些操作系统的客户应用此更新,此更新通过“Windows 更新”提供。

[1]此更新仅通过 Windows 更新提供。

严重等级和漏洞标识符

以下严重等级假设漏洞的可能的最大影响。有关此安全公告发布 30 天内,漏洞利用的安全等级和安全影响的可能性的信息,请参阅 3 月份公告摘要中的利用指数。

按受影响软件列出的漏洞严重等级和最大安全影响

受影响的软件

WTS 远程执行代码漏洞 - CVE-2015-0081

DLL 种植远程执行代码漏洞 - CVE-2015-0096

综合严重等级

Windows Server 2003

Windows Server 2003 Service Pack 2
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2003 Service Pack 2
(3039066)

不适用

严重
远程执行代码

严重

Windows Server 2003 x64 Edition Service Pack 2
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2003 x64 Edition Service Pack 2
(3039066)

不适用

严重
远程执行代码

严重

Windows Server 2003 SP2(用于基于 Itanium 的系统)
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2003 SP2(用于基于 Itanium 的系统)
(3039066)

不适用

严重
远程执行代码

严重

Windows Vista

Windows Vista Service Pack 2
(3033889)

严重
远程执行代码

不适用

严重

Windows Vista Service Pack 2
(3039066)

不适用

严重
远程执行代码

严重

Windows Vista x64 Edition Service Pack 2
(3033889)

严重
远程执行代码

不适用

严重

Windows Vista x64 Edition Service Pack 2
(3039066)

不适用

严重
远程执行代码

严重

Windows Server 2008

Windows Server 2008(用于 32 位系统)Service Pack 2
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2008(用于 32 位系统)Service Pack 2
(3039066)

不适用

严重
远程执行代码

严重

Windows Server 2008(用于基于 x64 的系统)Service Pack 2
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2008(用于基于 x64 的系统)Service Pack 2
(3039066)

不适用

严重
远程执行代码

严重

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
(3039066)

不适用

严重
远程执行代码

严重

Windows 7

Windows 7(用于 32 位系统)Service Pack 1
(3033889)

严重
远程执行代码

不适用

严重

Windows 7(用于 32 位系统)Service Pack 1
(3039066)

不适用

严重
远程执行代码

严重

Windows 7(用于基于 x64 的系统)Service Pack 1
(3033889)

严重
远程执行代码

不适用

严重

Windows 7(用于基于 x64 的系统)Service Pack 1
(3039066)

不适用

严重
远程执行代码

严重

Windows Server 2008 R2

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
(3039066)

不适用

严重
远程执行代码

严重

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
(3039066)

不适用

严重
远程执行代码

严重

Windows 8 和 Windows 8.1

Windows 8(用于 32 位系统)
(3033889)

严重
远程执行代码

不适用

严重

Windows 8(用于 32 位系统)
(3039066)

不适用

严重
远程执行代码

严重

Windows 8(用于基于 x64 的系统)
(3033889)

严重
远程执行代码

不适用

严重

Windows 8(用于基于 x64 的系统)
(3039066)

不适用

严重
远程执行代码

严重

Windows 8.1(用于 32 位系统)
(3033889)

严重
远程执行代码

不适用

严重

Windows 8.1(用于 32 位系统)
(3039066)

不适用

严重
远程执行代码

严重

Windows 8.1(用于基于 x64 的系统)
(3033889)

严重
远程执行代码

不适用

严重

Windows 8.1(用于基于 x64 的系统)
(3039066)

不适用

严重
远程执行代码

严重

Windows Server 2012 和 Windows Server 2012 R2

Windows Server 2012
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2012
(3039066)

不适用

严重
远程执行代码

严重

Windows Server 2012 R2
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2012 R2
(3039066)

不适用

严重
远程执行代码

严重

Windows RT 和 Windows RT 8.1

Windows RT
(3033889)

严重
远程执行代码

不适用

严重

Windows RT
(3039066)

不适用

严重
远程执行代码

严重

Windows RT 8.1
(3033889)

严重
远程执行代码

不适用

严重

Windows RT 8.1
(3039066)

不适用

严重
远程执行代码

严重

服务器核心安装选项

Windows Server 2008(用于 32 位系统)Service Pack 2(服务器核心安装)
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2008(用于 32 位系统)Service Pack 2(服务器核心安装)
(3039066)

不适用

严重
远程执行代码

严重

Windows Server 2008(用于基于 x64 的系统)Service Pack 2(服务器核心安装)
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2008(用于基于 x64 的系统)Service Pack 2(服务器核心安装)
(3039066)

不适用

严重
远程执行代码

严重

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)
(3039066)

不适用

严重
远程执行代码

严重

Windows Server 2012(服务器核心安装)
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2012(服务器核心安装)
(3039066)

不适用

严重
远程执行代码

严重

Windows Server 2012 R2(服务器核心安装)
(3033889)

严重
远程执行代码

不适用

严重

Windows Server 2012 R2(服务器核心安装)
(3039066)

不适用

严重
远程执行代码

严重

漏洞信息

WTS 远程执行代码漏洞 - CVE-2015-0081

当 Windows 文字服务不正确地处理内存中的对象时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在本地登录用户的上下文中运行任意代码。

要利用此漏洞,攻击者必须说服用户浏览经特殊设计的网站或打开经特殊设计的文件。该更新通过更正 Microsoft 文字服务处理内存中对象的方式来解决漏洞。

Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。在最初发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 未找到适合此漏洞的任何变通办法

DLL 种植远程执行代码漏洞 - CVE-2015-0096

当 Microsoft Windows 不正确处理 DLL 文件加载时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。

当 Windows 以允许执行恶意代码的方式分析快捷方式,且显示经特殊设计的快捷方式图标时出现此漏洞。对于会被利用的漏洞,用户必须使用 Windows 资源管理器浏览恶意网站、远程网络共享或本地工作目录(注意浏览工作目录的其他方法,如通过 cmd.exe 或 powershell.exe,但请勿触发此利用)。此外,通过 USB 可移动驱动器,尤其是已启用 AutoPlay 的系统,可以利用此漏洞。

用户浏览恶意目录后,此目录包含的经特殊设计的 DLL 被加载到内存中,使攻击者可控制已登录用户安全上下文中的受影响系统。该更新通过更正 Microsoft Windows 处理 DLL 文件加载的方式来解决漏洞。

Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。在最初发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

以下变通办法在您遇到的情形中可能会有所帮助:

  • 禁用快捷方式的图标显示
    注意要使用自动化“Microsoft 修复”解决方案来启用或禁用此变通办法,请参阅 Microsoft 知识库文章 2286198。此修复解决方案将要求完成时重新启动才能生效。此修复解决方案部署变通办法,因此具有相同的用户影响。我们建议管理员在部署此修复解决方案之前仔细阅读知识库文章。

    注意 如果注册表编辑器使用不当,则可能会导致严重问题发生,届时您可能必须重新安装操作系统。Microsoft 无法保证能够解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器的风险由您自己承担。若要了解如何编辑注册表,请查看注册表编辑器 (Regedit.exe) 中的“更改项和值”帮助主题,或查看 Regedt32.exe 中的“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

    1. 单击“开始”,单击“运行”,在“打开”框中键入 Regedit,然后单击“确定”。
    2. 找到并选中下面的注册表项:

          HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
      
    3. 单击“文件”菜单,然后单击“导出”。

    4. 在“导出注册表文件”对话框中,键入 LNK_Icon_Backup.reg,然后单击“保存”。 注意 默认情况下,此操作将在“我的文档”文件夹中创建此注册表项的备份。
    5. 在“注册表编辑器”的右窗格中选择值“(默认)”值。按 Enter 编辑注册表项的值。删除值,以便值为空白,然后按 Enter
    6. 找到并选中下面的注册表项:

          HKEY_CLASSES_ROOT\piffile\shellex\IconHandler
      
    7. 单击“文件”菜单,然后单击“导出”。

    8. 在“导出注册表文件”对话框中,键入 PIF_Icon_Backup.reg,然后单击“保存”。 注意 默认情况下,此操作将在“我的文档”文件夹中创建此注册表项的备份。
    9. 在“注册表编辑器”的右窗格中选择值“(默认)”值。按 Enter 编辑注册表项的值。删除值,以便值为空白,然后按 Enter
    10. 注销所有用户并再次登录,或重新启动计算机。

    变通办法的影响。禁用显示快捷方式的图标可防止受影响系统上的漏洞利用问题。实施此变通办法时,系统可能将大多数图标显示为“白色”默认对象图标,从而影响可用性。我们建议系统管理员在部署之前彻底测试此变通办法。当变通办法撤消时,所有图标将重新显示。 如何撤消变通办法。

    使用交互方法:

    1. 单击“开始”,单击“运行”,在“打开”框中键入 Regedit,然后单击“确定”。
    2. 单击“文件”菜单,然后单击“导入”。
    3. 在“导入注册表文件”对话框中,选择 LNK_Icon_Backup.reg,然后单击“打开”。
    4. 单击“文件”菜单,然后单击“导入”。
    5. 在“导入注册表文件”对话框中,选择 PIF_Icon_Backup.reg,然后单击“打开”。
    6. 退出注册表编辑器,然后重新启动计算机。

    手动将注册表项值重置为默认值:

    1. 单击“开始”,单击“运行”,在“打开”框中键入 Regedit,然后单击“确定”。
    2. 找到并单击以下注册表项:

          HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
      
    3. 将注册表项值重置为:

          {00021401-0000-0000-C000-000000000046}
      
    4. 找到并单击以下注册表项:

          HKEY_CLASSES_ROOT\piffile\shellex\IconHandler
      
    5. 将注册表项值重置为:

          {00021401-0000-0000-C000-000000000046}
      
    6. 重新启动计算机

  • 禁用 WebClient 服务
    禁用 WebClient 服务可以通过 Web 分布式创作和版本管理 (WebDAV) 客户端服务来阻止最可能的远程攻击媒介,从而帮助保护受影响的系统免受此漏洞的危害。在应用此变通办法后,成功利用此漏洞的远程攻击者仍有可能使 Microsoft Office Outlook 执行位于目标用户计算机或局域网 (LAN) 上的程序,但是在打开来自 Internet 的任意程序之前,会提示用户给予确认。 要禁用 WebClient 服务,请按照以下步骤操作:

    1. 单击“开始”,单击“运行”,键入“Services.msc”,然后单击“确定”。
    2. 右键单击“WebClient”服务,然后选择“属性”。
    3. 将启动类型更改为“已禁用”。如果服务正在运行,请单击“停止”。
    4. 单击“确定”,退出管理应用程序。

    变通办法的影响。 当禁用 WebClient 服务时,不会传输 Web 分布式创作和版本管理 (WebDAV) 请求。此外,所有明确依赖于 Web 客户端服务的任何服务将不会启动,并且会在系统日志中记录错误消息。例如,将无法从客户端计算机访问 WebDAV 共享。 如何撤消变通方法:

    要重新启用 WebClient 服务,请按照以下步骤操作:

    1. 单击“开始”,单击“运行”,键入“Services.msc”,然后单击“确定”。
    2. 右键单击“WebClient”服务,然后选择“属性”。
    3. 将启动类型更改为“自动”。如果服务未正在运行,请单击“启动”。
    4. 单击“确定”,退出管理应用程序。

安全更新部署

有关安全更新部署信息,请参阅执行摘要中此处引用的 Microsoft 知识库文章。

鸣谢

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢

免责声明

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

页面生成时间 2015-03-10 13:42Z-07:00。