Microsoft 安全公告 MS15-069 - 重要

Windows 中的漏洞可能允许远程执行代码 (3072631)

发布日期:2015 年 7 月 14 日

版本: 1.0

执行摘要

此安全更新可修复 Microsoft Windows 中的漏洞。如果攻击者先在目标用户的当前工作目录中放置经特殊设计的动态链接库 (DLL) 文件,然后诱使用户打开 RTF 文件或启动旨在加载受信任的 DLL 文件的程序加载攻击者经特殊设计的 DLL 文件,这些漏洞可能会允许远程执行代码。成功利用这些漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

对于 Windows Server 2003(不包括 Itanium)、Windows Vista, Windows Server 2008(不包括 Itanium)、Windows 7、Windows Server 2008 R2(不包括 Itanium)、Windows 8.1, Windows 2012 R2 和 Windows RT 8.1 的所有受支持版本,此安全更新的等级为“重要”。有关详细信息,请参阅“受影响的软件”部分。

此安全更新通过更正 Windows 加载某些 DLL 文件和 Windows Media 设备管理器加载某些二进制的方式来解决漏洞。有关这些漏洞的详细信息,请参阅“漏洞信息”一节。

有关此更新的详细信息,请参阅 Microsoft 知识库文章 3072631

受影响的软件

以下软件版本都受到影响。未列出的版本的支持生命周期已结束或者不受影响。要确定软件版本的技术支持生命周期,请参阅 Microsoft 技术支持生命周期

**操作系统** **组件** **最大安全影响** **综合严重等级** **替代的更新**
**Windows Server 2003**
[Windows Server 2003 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=0bbfb2fe-2b73-4a8e-a88e-75b93a16ef20) (3067903) 不适用 远程执行代码 重要
Windows Server 2003 Service Pack 2 Windows Media Format SDK 11[1] (3067903) 远程执行代码 重要
[Windows Server 2003 x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=55658b2e-30ad-40b9-89c9-967cc44bf0d9) (3067903) 不适用 远程执行代码 重要
Windows Server 2003 x64 Edition Service Pack 2 Windows Media Format SDK 11[1] (3067903) 远程执行代码 重要
**Windows Vista**
[Windows Vista Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=4bc38022-f363-45c6-87f9-29ed4fa0d302) (3067903) 不适用 远程执行代码 重要
[Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=340ce6c4-4295-44d5-bef6-8b133a54676b) (3067903) 不适用 远程执行代码 重要
**Windows Server 2008**
[Windows Server 2008(用于 32 位系统)Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=81e8fecb-8aad-4420-bb09-0a35e173b3bf) (3067903) 不适用 远程执行代码 重要
[Windows Server 2008(用于基于 x64 的系统)Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=614cfff0-57a8-4492-9efc-2413f827c061) (3067903) 不适用 远程执行代码 重要
**Windows 7**
[Windows 7(用于 32 位系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=cf922863-f2a2-4411-bc3f-5b6e107305a8) (3067903) 不适用 远程执行代码 重要
[Windows 7(用于 32 位系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=a24fa1c0-8f6d-48d2-958a-7e5fc7dcc484) (3070738) 不适用 远程执行代码 重要
[Windows 7(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=9e1456ab-da35-4dee-888e-fbc7d734200d) (3067903) 不适用 远程执行代码 重要
[Windows 7(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=8a30bcc8-8824-42ab-93c5-0520080fbc57) (3070738) 不适用 远程执行代码 重要
**Windows Server 2008 R2**
[Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=d442b36e-5b1c-4d94-93f7-fe8d17fea6e5) (3067903) 不适用 远程执行代码 重要
[Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=4599d99f-5270-4a91-8c44-5f87672aab7c)[2] (3070738) 不适用 远程执行代码 重要
**Windows 8.1**
[Windows 8.1(用于 32 位系统)](https://www.microsoft.com/download/details.aspx?familyid=a0764b2d-2192-4ed7-850e-0f2ec78c50f5) (3061512) 不适用 远程执行代码 重要
[Windows 8.1(用于基于 x64 的系统)](https://www.microsoft.com/download/details.aspx?familyid=5c2b0b24-5d22-486a-83b5-5a314656fd79) (3061512) 不适用 远程执行代码 重要
**Windows Server 2012 R2**
[Windows Server 2012 R2](https://www.microsoft.com/download/details.aspx?familyid=865b4b04-60ef-42df-9864-2ed964534bb2) (3061512) 不适用 远程执行代码 重要
**Windows RT 8.1**
Windows RT 8.1[1] (3061512) 不适用 远程执行代码 重要

[1]此更新仅通过 Windows 更新提供。

[2]Windows Server 2008 R2 系统仅在安装“桌面体验”后受到影响。

更新常见问题

Format 软件开发工具包 (SDK) 是什么?
Microsoft Windows Media Format 软件开发工具包 (SDK) 可以使开发人员创建应用程序,这些应用程序可以操作存储在与高级系统格式 (ASF) 文件结构一致的文件中的数字媒体。有关详细信息,请参阅 关于 Windows Media Format SDK

严重等级和漏洞标识符

以下严重等级假设漏洞的可能的最大影响。有关此安全公告发布 30 天内,漏洞利用的安全等级和安全影响的可能性的信息,请参阅 7 月份公告摘要中的利用指数。

**按受影响软件列出的漏洞严重等级和最大安全影响**
**受影响的软件** [**Windows DLL 远程执行代码漏洞 - CVE-2015-2368**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2368) [**DLL 种植远程执行代码漏洞 - CVE-2015-2369**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2369) **综合严重等级**
**Windows Server 2003**
Windows Server 2003 Service Pack 2 (3067903) 不适用 **重要** 远程执行代码 **重要**
Windows Server 2003 Service Pack 2 上的 Windows Media Format SDK 11 (3067903) 不适用 **重要** 远程执行代码 **重要**
Windows Server 2003 x64 Edition Service Pack 2 (3067903) 不适用 **重要** 远程执行代码 **重要**
Windows Server 2003 x64 Edition Service Pack 2 上的 Windows Media Format SDK 11 (3067903) 不适用 **重要** 远程执行代码 **重要**
**Windows Vista**
Windows Vista Service Pack 2 (3067903) 不适用 **重要** 远程执行代码 **重要**
Windows Vista x64 Edition Service Pack 2 (3067903) 不适用 **重要** 远程执行代码 **重要**
**Windows Server 2008**
Windows Server 2008(用于 32 位系统)Service Pack 2 (3067903) 不适用 **重要** 远程执行代码 **重要**
Windows Server 2008(用于基于 x64 的系统)Service Pack 2 (3067903) 不适用 **重要** 远程执行代码 **重要**
**Windows 7**
Windows 7(用于 32 位系统)Service Pack 1 (3067903) 不适用 **重要** 远程执行代码 **重要**
Windows 7(用于 32 位系统)Service Pack 1 (3070738) **重要** 远程执行代码 不适用 **重要**
Windows 7(用于基于 x64 的系统)Service Pack 1 (3067903) 不适用 **重要** 远程执行代码 **重要**
Windows 7(用于基于 x64 的系统)Service Pack 1 (3070738) **重要** 远程执行代码 不适用 **重要**
**Windows Server 2008 R2**
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 (3067903) 不适用 **重要** 远程执行代码 **重要**
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1[1] (3070738) **重要** 远程执行代码 不适用 **重要**
**Windows 8.1**
Windows 8.1(用于 32 位系统) (3061512) **重要** 远程执行代码 不适用 **重要**
Windows 8.1(用于基于 x64 的系统) (3061512) **重要** 远程执行代码 不适用 **重要**
**Windows Server 2012 R2**
Windows Server 2012 R2 (3061512) **重要** 远程执行代码 不适用 **重要**
**Windows RT 8.1**
Windows RT 8.1 (3061512) **重要** 远程执行代码 不适用 **重要**

[1]Windows Server 2008 R2 系统仅在安装“桌面体验”后受到影响。

漏洞信息

Windows DLL 远程执行代码漏洞 - CVE-2015-2368

当 Microsoft Windows 不正确处理动态链接库 DLL 文件加载时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

要利用此漏洞,攻击者必须先在目标用户的当前工作目录中放置经特殊设计 DLL 文件,然后诱使用户启动旨在加载受信任的 DLL 文件的程序加载攻击者经特殊设计的 DLL 文件。该更新通过更正 Windows 处理某些 DLL 文件加载的方式来解决漏洞。

Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。在发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 未找到适合此漏洞的任何变通方法

DLL 种植远程执行代码漏洞 - CVE-2015-2369

当 Microsoft Windows Media 设备管理器不正确处理某些经特殊设计的 DLL 文件加载时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

要利用此漏洞,攻击者必须先在目标用户的当前工作目录中放置经特殊设计 DLL 文件,然后诱使用户打开经特殊设计的 .RTF 文件。攻击者无法强迫用户打开该文件。该更新通过更正 Windows Media 设备管理器加载某些二进制的方式来解决漏洞。

Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。在发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

以下变通办法在您遇到的情形中可能会有所帮助:

修改注册表以防止 Office 文档加载 WMDMCESP.WMDMCESP ActiveX 控件

警告 如果不正确地使用注册表编辑器,可能导致严重的问题,或许需要您重新安装操作系统。Microsoft 不保证您可以解决因错误使用注册表编辑器而产生的问题。使用注册表编辑器的风险由您自己承担。

  1. 创建一个包含以下文本并且名为 WMDMCESP-disable.reg 的文本文件:

        Windows 注册表编辑器版本 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{067B4B81-B1EC-489f-B111-940EBDC44EBE}]"Compatibility Flags"=dword:00000400
    
  2. 运行 regedit.exe

  3. 在注册表编辑器中,单击“文件”菜单,然后单击“导入”。

  4. 导航并选择您在步骤 1 中创建的 WMDMCESP-disable.reg 文件。 (请注意:如果文件未列于预期位置,确保尚未自动对该文件给定 .txt 文件扩展名,或将对话框的文件扩展名更改为所有文件)。

  5. 单击打开,然后单击确定,以关闭注册表编辑器。

**变通办法的影响。**使用 WMDMCESP.WMDMCESP ActiveX 控件的文档可能未正常运行。

如何撤消变通办法。

  1. 创建一个包含以下文本并且名为 WMDMCESP-enable.reg 的文本文件:

        Windows 注册表编辑器版本 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{067B4B81-B1EC-489f-B111-940EBDC44EBE}]"Compatibility Flags"=dword:00000000
    
  2. 运行 regedit.exe

  3. 在注册表编辑器中,单击“文件”菜单,然后单击“导入”。

  4. 导航并选择您在步骤 1 中创建的 WMDMCESP-enable.reg 文件。 (请注意:如果文件未列于预期位置,确保尚未自动对该文件给定 .txt 文件扩展名,或将对话框的文件扩展名更改为所有文件)。

  5. 单击打开,然后单击确定,以关闭注册表编辑器。

安全更新部署

有关安全更新部署信息,请参阅执行摘要中此处引用的 Microsoft 知识库文章。

鸣谢

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢

免责声明

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

  • V1.0(2015 年 7 月 14 日):公告已发布。

页面生成时间:2015-07-13 17:47Z-07:00。