MSRC ppDocument 模板

Microsoft 安全公告 MS15-114 - 严重

Windows 日记本解决远程执行代码漏洞适用的安全更新 (3100213)

发布日期:2015 年 11 月 10 日

版本: 1.0

执行摘要

此安全更新程序修复了 Microsoft Windows 中的一个漏洞。如果用户打开特制日记文件,该漏洞可能允许远程执行代码。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。

对于 Windows Vista 和 Windows 7 的所有受支持版本,以及对于 Windows Server 2008 和 Windows Server 2008 R2 的所有受支持的非 Itanium 版本,此安全更新的等级为“严重”。有关详细信息,请参阅“受影响的软件”部分。

此安全更新通过修改 Windows 日记本分析日记文件的方式来解决漏洞。有关这些漏洞的详细信息,请参阅“漏洞信息”部分

有关此更新的详细信息,请参阅 Microsoft 知识库文章 3100213

受影响的软件

以下软件版本都受到影响。未列出的版本的支持生命周期已结束或者不受影响。要确定软件版本的技术支持生命周期,请参阅 Microsoft 技术支持生命周期

**操作系统** **最大安全影响** **综合严重等级** **替代的更新**\*
**Windows Vista**
[Windows Vista Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=d5851286-d376-4191-bfe2-ccef297f13a5) (3100213) 远程执行代码 严重 [MS15-098](https://technet.microsoft.com/zh-cn/library/security/ms15-098) 中的 3069114
[Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=458df2d5-da19-403a-bebb-9efa479e2710) (3100213) 远程执行代码 严重 [MS15-098](https://technet.microsoft.com/zh-cn/library/security/ms15-098) 中的 3069114
**Windows Server 2008**
[Windows Server 2008(用于 32 位系统)Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=c6c93cb4-17b5-4d04-ac56-e90e68a6c78b) (3100213) 远程执行代码 严重 [MS15-098](https://technet.microsoft.com/zh-cn/library/security/ms15-098) 中的 3069114
[Windows Server 2008(用于基于 x64 的系统)Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=2b4d4f39-697d-4fb5-8c2e-0b0a0b50842b) (3100213) 远程执行代码 严重 [MS15-098](https://technet.microsoft.com/zh-cn/library/security/ms15-098) 中的 3069114
**Windows 7**
[Windows 7(用于 32 位系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=d5ef7b56-7dcf-43eb-b239-04eb33760854) (3100213) 远程执行代码 严重 [MS15-098](https://technet.microsoft.com/zh-cn/library/security/ms15-098) 中的 3069114
[Windows 7(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=3ceaef19-37cf-4eea-978b-27181aea2fb3) (3100213) 远程执行代码 严重 [MS15-098](https://technet.microsoft.com/zh-cn/library/security/ms15-098) 中的 3069114
**Windows Server 2008 R2**
[Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=97e82281-e5a4-4213-9dab-d7e7ab506f9c) (3100213) 远程执行代码 严重 [MS15-098](https://technet.microsoft.com/zh-cn/library/security/ms15-098) 中的 3069114

*在取代的更新链中,“替代的更新”列仅显示最新的更新。有关替代的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库编号,然后查看更新详细信息(替代的更新信息位于“程序包详细信息”选项卡)。

严重等级和漏洞标识符

以下严重等级假设漏洞的可能的最大影响。有关此安全公告发布 30 天内,漏洞利用的安全等级和安全影响的可能性的信息,请参阅 11 月份公告摘要中的利用指数。

**按受影响软件列出的漏洞严重等级和最大安全影响**
**受影响的软件** [**Windows 日记本堆溢出漏洞 - CVE-2015-6097**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-6097) **综合严重等级**
**Windows Vista**
Windows Vista Service Pack 2 (3100213) **严重**  远程执行代码 **严重**
Windows Vista x64 Edition Service Pack 2 (3100213) **严重**  远程执行代码 **严重**
**Windows Server 2008**
Windows Server 2008(用于 32 位系统)Service Pack 2 (3100213) **严重**  远程执行代码 **严重**
Windows Server 2008(用于基于 x64 的系统)Service Pack 2 (3100213) **严重**  远程执行代码 **严重**
**Windows 7**
Windows 7(用于 32 位系统)Service Pack 1 (3100213) **严重**  远程执行代码 **严重**
Windows 7(用于基于 x64 的系统)Service Pack 1 (3100213) **严重**  远程执行代码 **严重**
**Windows Server 2008 R2**
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 (3100213) **严重**  远程执行代码 **严重**

漏洞信息

Windows 日记本堆溢出漏洞 - CVE-2015-6097

当在 Windows 日记本中打开经特殊设计的日志文件时,Microsoft Windows 中存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中执行任意代码。如果用户使用管理用户权限登录,攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。

若要成功进行攻击,该漏洞需要用户使用受影响的 Windows 日记本版本打开经特殊设计的日记文件。在电子邮件攻击情形中,攻击者可以通过向用户发送特制日记文件并诱使用户打开该文件来利用此漏洞。

该更新通过修改 Windows 日记本分析日记文件的方式来解决漏洞。Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。当时此安全公告最初发布,Microsoft 没有收到关于尝试利用此漏洞的任何攻击。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

以下变通办法在您遇到的情形中可能会有所帮助:

  • 请勿打开可疑的文件附件

    不要打开从不受信任来源或从受信任来源意外收到的 Windows 日记本 (.jnt) 文件。当用户打开特制文件时,攻击者可能会利用此漏洞。

     

  • 删除 .jnt 文件类型关联

    交互方法: 注意 注册表编辑器使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft 无法保证能够解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器的风险由您自己承担。有关如何编辑注册表的信息,请查看注册表编辑器 (Regedit.exe) 中的“更改项和值”帮助主题,或查看 Regedt32.exe 中的“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

    若要使用交互方法删除 .jnt 文件类型关联,请执行以下步骤:

    1. 依次单击“开始”、“运行”,键入 Regedit,然后单击“确定”。
    2. 展开 HKEY_CLASSES_ROOT,单击“jntfile”,然后单击“文件”菜单并选择“导出”。
    3. 在“导出注册表文件”对话框中,键入 jntfile HKCR file association registry backup.reg,然后单击“保存”。默认情况下,此操作将在“我的文档”文件夹中创建此注册表项的备份。
    4. 按键盘上的“Delete”键删除该注册表项。当系统提示您删除注册表值时,请单击“是”。
    5. 依次展开 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts
    6. 单击“.jnt”,然后单击“文件”菜单并选择“导出”。
    7. 在“导出注册表文件”对话框中,键入 .jntHKCU file association registry backup.reg,然后单击“保存”。默认情况下,此操作将在“我的文档”文件夹中创建此注册表项的备份。
    8. 按键盘上的“Delete”键删除该注册表项。当系统提示您删除注册表值时,请单击“是”。

     

使用被管理的脚本: 注意 如果注册表编辑器使用不当,则可能会导致严重问题发生,届时您可能必须重新安装操作系统。Microsoft 无法保证能够解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器的风险由您自己承担。有关如何编辑注册表的信息,请查看注册表编辑器 (Regedit.exe) 中的“更改项和值”帮助主题,或查看 Regedt32.exe 中的“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

若要使用交互、被管理的脚本删除 .jnt 文件类型关联,请执行以下步骤:

  1. 首先,使用下列命令和被管理的部署脚本备份注册表项:

        Regedit.exe /e jntfile_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\jntfile
        Regedit.exe /e jnt_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt
    
  2. 接下来,将下列内容保存到扩展名为 .reg 的文件(例如 Delete_jnt_file_association.reg):

        Windows Registry Editor Version 5.00
        [-HKEY_CLASSES_ROOT\jntfile]
        [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt]
    
  3. 在目标计算机上,使用下列命令运行在步骤 2 中创建的上述注册表脚本:

        Regedit.exe /s Delete_jnt_file_association.reg
    
 

**变通办法的影响。**双击 .jnt 文件将不再启动 journal.exe。

如何撤消变通办法:

使用注册表编辑器还原 .REG 文件中保存的设置,从而还原注册表项。

 
  • 通过禁用安装的 Windows 功能删除 Windows 日记本

    在 Windows Vista 和 Windows 7 系统上,请执行以下步骤:

    1. 依次单击“开始”、“控制面板”和“程序”。
    2. 单击“打开或关闭 Windows 功能”,然后清除“Tablet PC 可选组件”(Windows Vista 系统)或“Tablet PC 组件”(Windows 7 系统)复选框。
    3. 单击“确定”。

     

**变通办法的影响。**Windows 日记本从系统中删除。

如何撤消变通办法:

若要在 Windows Vista 或 Windows 7 系统上重新安装 Windows 日记本,请执行以下步骤:

  1. 依次单击“开始”、“控制面板”和“程序”。
  2. 单击“打开或关闭 Windows 功能”,然后选择“Tablet PC 可选组件”(Windows Vista 系统)或“Tablet PC 组件”(Windows 7 系统)复选框。
  3. 单击“确定”。
 
  • 拒绝访问 Journal.exe

    若要拒绝访问 Journal.exe,请在管理命令提示符处输入以下命令:

    > takeown.exe /f "%ProgramFiles%\Windows Journal\Journal.exe"
    > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /deny everyone:(F)
 

**变通办法的影响。**Windows 日记本处于无法访问状态。

如何撤消变通办法:

若要恢复访问 Journal.exe,请在管理命令提示符处输入以下命令:

        > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /remove:d everyone

安全更新程序部署

有关安全更新部署信息,请参阅执行摘要中此处引用的 Microsoft 知识库文章。

鸣谢

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢部分。

免责声明

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

  • V1.0(2015 年 11 月 10 日):公告已发布。

页面生成时间:2015-11-04 11:52-08:00。