Microsoft 安全公告 MS15-057 - 严重

Windows Media Player 中的漏洞可能允许远程执行代码 (3033890)

发布日期:2015 年 6 月 9 日

版本: 1.0

执行摘要

此安全更新可修复 Microsoft Windows 中的漏洞。如果 Windows Media Player 打开恶意网站上经特殊设计的媒体内容,此漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全远程控制受影响的系统。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。

对于安装到 Windows Server 2003 时的 Windows Media Player 10、安装到 Windows Vista 或 Windows Server 2008 时的 Windows Media Player 11 和安装到 Windows 7 或 Windows Server 2008 R2 时的 Windows Media Player 12,此安全更新的等级为“严重”。有关详细信息,请参阅“受影响的软件”部分。

此安全更新通过更正 Windows Media Player 处理 DataObjects 的方式来解决该漏洞。有关该漏洞的详细信息,请参阅“漏洞信息”一节。

有关此更新的详细信息,请参阅 Microsoft 知识库文章 3033890

 

受影响的软件

以下软件版本都受到影响。未列出的版本的支持生命周期已结束或者不受影响。要确定软件版本的技术支持生命周期,请参阅 Microsoft 技术支持生命周期

**操作系统** **组件** **最大安全影响** **综合严重等级** **替代的更新**\*
**Windows Server 2003**
Windows Server 2003 Service Pack 2 [Windows Media Player 10](https://www.microsoft.com/download/details.aspx?familyid=46567c7e-c059-4734-b63a-953736154fa0) (3033890) 远程执行代码 严重 [MS10-082](https://technet.microsoft.com/zh-cn/library/security/ms10-082) 中的 2378111
Windows Server 2003 x64 Edition Service Pack 2 [Windows Media Player 10](https://www.microsoft.com/download/details.aspx?familyid=21bc0cd5-d1a6-4214-8912-77f495da51e6) (3033890) 远程执行代码 严重 [MS10-082](https://technet.microsoft.com/zh-cn/library/security/ms10-082) 中的 2378111
**Windows Vista**
Windows Vista Service Pack 2 [Windows Media Player 11](https://www.microsoft.com/download/details.aspx?familyid=e0e4cf57-2108-425c-a01c-afcd975d3eae) (3033890) 远程执行代码 严重 [MS10-082](https://technet.microsoft.com/zh-cn/library/security/ms10-082) 中的 2378111
Windows Vista x64 Edition Service Pack 2 [Windows Media Player 11](https://www.microsoft.com/download/details.aspx?familyid=1853144b-7c90-485e-ba74-85ff9d7d8b42) (3033890) 远程执行代码 严重 [MS10-082](https://technet.microsoft.com/zh-cn/library/security/ms10-082) 中的 2378111
**Windows Server 2008**
Windows Server 2008(用于 32 位系统)Service Pack 2 [Windows Media Player 11](https://www.microsoft.com/download/details.aspx?familyid=bb492000-2644-434f-aafc-161dbff38310) (3033890) 远程执行代码 严重 [MS10-082](https://technet.microsoft.com/zh-cn/library/security/ms10-082) 中的 2378111
Windows Server 2008(用于基于 x64 的系统)Service Pack 2 [Windows Media Player 11](https://www.microsoft.com/download/details.aspx?familyid=4414cc5b-5049-4020-b75a-303c81259781) (3033890) 远程执行代码 严重 [MS10-082](https://technet.microsoft.com/zh-cn/library/security/ms10-082) 中的 2378111
**Windows 7**
Windows 7(用于 32 位系统)Service Pack 1 [Windows Media Player 12](https://www.microsoft.com/download/details.aspx?familyid=b68e7be5-3f4f-4d41-a3b0-e8e859fcf0ca) (3033890) 远程执行代码 严重
[Windows 7(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=96ed873d-1d5f-4a23-a20e-6b10b1733f59) (3033890) Windows Media Player 12 远程执行代码 严重
**Windows Server 2008 R2**
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 [Windows Media Player 12](https://www.microsoft.com/download/details.aspx?familyid=687eb4f9-5d58-46bc-8ab6-d6e87a253b0e) (3033890) 远程执行代码 严重

*“替代的更新”列只显示已替代日期系列中的最新日期。有关替代日期的完整列表,请转到 Microsoft 更新目录,搜索更新 KB 编号,然后查看更新详情(已替代更新的信息位于“程序包详细信息”选项卡上)。

严重等级和漏洞标识符

以下严重等级假设漏洞的可能的最大影响。有关此安全公告发布 30 天内,漏洞利用的安全等级和安全影响的可能性的信息,请参阅 6 月份公告摘要中的利用指数。

**按受影响软件列出的漏洞严重等级和最大安全影响**
**受影响的软件** [**经由 DataObject 的 Windows Media Player RCE 漏洞 — CVE-2015-1728**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1728) **综合严重等级**
**Windows Server 2003**
Windows Server 2003 Service Pack 2 (3033890) **严重**  远程执行代码 严重
Windows Server 2003 x64 Edition Service Pack 2 (3033890) **严重**  远程执行代码 严重
**Windows Vista**
Windows Vista Service Pack 2 (3033890) **严重**  远程执行代码 严重
Windows Vista x64 Edition Service Pack 2 (3033890) **严重**  远程执行代码 严重
**Windows Server 2008**
Windows Server 2008(用于 32 位系统)Service Pack 2 (3033890) **严重**  远程执行代码 严重
Windows Server 2008(用于基于 x64 的系统)Service Pack 2 (3033890) **严重**  远程执行代码 严重
**Windows 7**
Windows 7(用于 32 位系统)Service Pack 1 (3033890) **严重**  远程执行代码 严重
Windows 7(用于基于 x64 的系统)Service Pack 1 (3033890) **严重**  远程执行代码 严重
**Windows Server 2008 R2**
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 (3033890) **严重**  远程执行代码 严重

 

漏洞信息

经由 DataObject 的 Windows Media Player RCE 漏洞 — CVE-2015-1728

Windows Media Player 处理经特殊设计的 DataObjects 的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全远程控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。

要利用此漏洞,用户必须在 Windows Media Player 中打开经特殊设计的 DataObject。此安全更新通过更正 Windows Media Player 处理 DataObjects 的方式来解决该漏洞。

Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。在最初发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

以下变通办法在您遇到的情形中可能会有所帮助:

  • 从 Internet Explorer ElevationPolicy 中删除 wmplayer.exe

    警告 如果不正确地使用注册表编辑器,可能导致严重的问题,或许需要您重新安装操作系统。Microsoft 不保证您可以解决因错误使用注册表编辑器而产生的问题。使用注册表编辑器的风险由您自己承担。

    要从 Internet Explorer ElevationPolicy 中删除 Windows Media Player,请执行以下步骤:

    1. 运行 regedit.exe 并展开以下注册表子项:

          HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
      
    2. 选择 {6bf52a52-394a-11d3-b153-00c04f79faa6}

    3. 单击“文件”菜单并选择“导出”。

    4. 在“导出注册表文件”对话框中,键入 wmplayer.exe_backup.reg,然后单击“保存”。

    5. 单击“文件”菜单,选择“删除”,然后单击“”。

    6. 注销并再次登录,或重新启动系统。

    如何撤消变通办法。

    1. 运行 regedit.exe
    2. 单击“文件”菜单并选择“导入”。
    3. 在“导入注册表文件”对话框中,选择 wmplayer.exe_backup.reg,然后单击“打开”。

常见问题

攻击者如何利用该漏洞?

此漏洞需要用户在 Windows Media Player 中打开经特殊设计的 DataObject。

在基于 Web 的攻击情形中,攻击者必须拥有用来试图利用此漏洞的经特殊设计的 DataObject。攻击者无法强迫用户访问经特殊设计的网站,相反,攻击者必须诱使用户访问该网站,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。

受此漏洞威胁最大的系统有哪些?

任何使用受影响的 Windows Media Player 版本的系统都有受此漏洞影响的风险。

鸣谢

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢

免责声明

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

  • V1.0(2015 年 6 月 9 日):公告已发布。

页面生成时间 2015-06-04 9:11Z-07:00。