Microsoft 資訊安全公告 MS15-035 - 重大
Microsoft 圖形元件中的弱點可能會允許遠端執行程式碼 (3046306)
發行日期:2015 年 4 月 14 日 | 已更新:2015 年 4 月 29 日
版本: 1.1
提要
此安全性更新可解決 Microsoft Windows 中的弱點。當攻擊者成功引誘使用者瀏覽蓄意製作的網站、開啟蓄意製作的檔案,或瀏覽到包含蓄意製作的增強型中繼檔案 (EMF) 影像檔的工作目錄,此弱點可能會允許遠端執行程式碼。但在所有情況下,攻擊者都無法強迫使用者執行上述動作。攻擊者必須引誘使用者這麼做,一般是藉助電子郵件附件或 Instant Messenger 訊息。
對於所有受支援版本的 Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2,此安全性更新的等級為「重大」。如需更多資訊,請參閱<受影響的軟體>一節。
此安全性更新藉由修正 Windows 處理 EMF 檔案的方式來解決此弱點。如需有關此弱點的詳細資訊,請參閱<弱點資訊>一節。
如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章 3046306。
受影響的軟體
下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站。
**作業系統** | **最大資訊安全影響** | **彙總嚴重性等級** | **取代的更新** |
**Windows Server 2003** | |||
[Windows Server 2003 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46506) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
[Windows Server 2003 x64 Edition Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46476) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
[適用於 Itanium 型系統的 Windows Server 2003 SP2](https://www.microsoft.com/download/details.aspx?familyid=23f19a71-39a4-4981-bd6e-1d526a9255ce) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
**Windows Vista** | |||
[Windows Vista Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46502) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
[Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46498) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
**Windows Server 2008** | |||
[32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46492) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
[適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46473) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
[Itanium 系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=5def2543-37eb-4b35-be58-efa39a37a70f) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
**Windows 7** | |||
[Windows 7 32 位元系統 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=46465) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
[Windows 7 x64 系統 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=46494) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
**Windows Server 2008 R2** | |||
[Windows Server 2008 R2 x64 系統 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=46495) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
[適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=22b92124-5750-4d4d-a85d-a35479763a2d) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
**Server Core 安裝選項** | |||
[適用於 32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46492) (Server Core 安裝) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
[適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46473) (Server Core 安裝) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
[適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=46495) (Server Core 安裝) (3046306) | 遠端執行程式碼 | 重大 | [MS13-089](https://technet.microsoft.com/zh-tw/library/security/ms13-089) 中的 2876331 |
嚴重性等級和弱點識別碼
下列嚴重性等級是假設弱點可能造成的最嚴重影響而評定。在本安全性公告發行的 30 天內,如需弱點之易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊,請參閱 4 月份公告摘要中的<弱點索引>。
**依受影響軟體列出的弱點嚴重性等級和最大安全性影響** | ||
**受影響的軟體** | [**EMF 處理遠端執行程式碼弱點 - CVE-2015-1645**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1645) | **彙總嚴重性等級** |
**Windows Server 2003** | ||
Windows Server 2003 Service Pack 2 (3046306) | **重大** 遠端執行程式碼 | **重大** |
Windows Server 2003 x64 Edition Service Pack 2 (3046306) | **重大** 遠端執行程式碼 | **重大** |
適用於 Itanium 型系統的 Windows Server 2003 SP2 (3046306) | **重大** 遠端執行程式碼 | **重大** |
**Windows Vista** | ||
Windows Vista Service Pack 2 (3046306) | **重大** 遠端執行程式碼 | **重大** |
Windows Vista x64 Edition Service Pack 2 (3046306) | **重大** 遠端執行程式碼 | **重大** |
**Windows Server 2008** | ||
32 位元系統的 Windows Server 2008 Service Pack 2 (3046306) | **重大** 遠端執行程式碼 | **重大** |
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (3046306) | **重大** 遠端執行程式碼 | **重大** |
Itanium 系統的 Windows Server 2008 Service Pack 2 (3046306) | **重大** 遠端執行程式碼 | **重大** |
**Windows 7** | ||
Windows 7 32 位元系統 Service Pack 1 (3046306) | **重大** 遠端執行程式碼 | **重大** |
Windows 7 x64 系統 Service Pack 1 (3046306) | **重大** 遠端執行程式碼 | **重大** |
**Windows Server 2008 R2** | ||
Windows Server 2008 R2 x64 系統 Service Pack 1 (3046306) | **重大** 遠端執行程式碼 | **重大** |
適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1 (3046306) | **重大** 遠端執行程式碼 | **重大** |
**Server Core 安裝選項** | ||
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) (3046306) | **重大** 遠端執行程式碼 | **重大** |
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) (3046306) | **重大** 遠端執行程式碼 | **重大** |
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) (3046306) | **重大** 遠端執行程式碼 | **重大** |
弱點資訊
EMF 處理遠端執行程式碼弱點 - CVE-2015-1645
在 Microsoft Windows 不當處理特定、蓄意製作的增強型中繼檔案 (EMF) 影像格式檔案的方式中,存在遠端執行程式碼的弱點。一旦成功利用此弱點,攻擊者便能以登入的使用者身分執行任意程式碼。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。如果使用者以系統管理的使用者權限登入,則攻擊者即可取得受影響系統的完整控制權。設定為具有較少使用者權限的使用者帳戶所受到的影響,可能會比利用系統管理使用者權限進行操作的使用者帳戶小。
在網頁型攻擊的案例中,攻擊者可以針對這個經由 Internet Explorer 引起的弱點來設計並架設蓄意製作的網站,然後引誘使用者檢視該網站。這可能也包含受侵害的網站,或接受或存放使用者提供之內容或橫幅廣告的網站;此類網站可能包含蓄意製作以利用此弱點的內容。但是,攻擊者無法強迫使用者造訪這類網站,而是必須引誘使用者去執行這個動作,通常是設法讓使用者按下電子郵件或 Instant Messenger 要求中的連結。
在電子郵件攻擊案例中,攻擊者可能會傳送蓄意製作的電子郵件給 Outlook 使用者,或傳送蓄意製作的 Office 文件 (做為附件) 給使用者,並引誘使用者閱讀訊息或開啟檔案,以利用這項弱點。
攻擊者可以在網站共用區提供惡意影像檔,並引誘使用者以 Windows 檔案總管來瀏覽資料夾,進而利用這項弱點。
此安全性更新藉由修正 Windows 處理 EMF 檔案的方式來解決此弱點。
Microsoft 是經由協同合作的來源接獲有關此弱點的訊息。本資訊安全公告發行時,Microsoft 尚未接到任何有關本弱點已公開用來攻擊客戶的消息。
緩和因素
Microsoft 尚未找到此項弱點的任何緩和因素。
因應措施
下列因應措施可能對您的狀況有所助益:
修改登錄以關閉中繼檔案處理 已套用 925902 更新的 Windows Server 2003 客戶,或使用 Windows Vista、Windows Server 2008、Windows 7 或 Windows Server 2008 R2 的客戶都可透過修改登錄來停用中繼檔案處理。這個設定有助於保護受影響系統,防範嘗試利用此弱點所發動的攻擊。
使用手動方法:
警告不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 並不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。
按一下 [開始],按一下 [執行],在 [開啟] 方塊中輸入 Regedit,然後按一下 [確定]。
找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
在 [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]。
鍵入 DisableMetaFiles,然後按下 ENTER。
在 [編輯] 功能表中,按一下 [修改] 以修改 DisableMetaFiles 登錄項目。
在 [數值資料] 方塊中輸入 1,然後按一下 [確定]。
結束「登錄編輯程式」。
將電腦重新開機。
**因應措施的影響:**關閉中繼檔案的處理可能導致軟體或系統元件的外觀品質降低。關閉中繼檔案的處理也可能導致軟體或系統元件完全失敗。此動作已被識別為可能會造成重大功能影響,在決定其適用性之前,應先仔細進行評估與測試。
範例包括下列項目:
- 您無法在電腦上列印。
- 電腦上的某些應用程式無法顯示美工圖案。
- 某些涉及 OLE 轉譯的案例可能會中斷。當物件伺服器未啟用時,此情形特別容易發生。
如需更多關於這個設定的資訊,請參閱 Microsoft 知識庫文件編號 941835。
使用管理的部署指令碼:
- 將下列登錄機碼儲存到副檔名為 .REG 的檔案中 (例如 Disable_MetaFiles.reg):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]
"DisableMetaFiles"=dword:00000001
- 從系統管理員 (在 Vista 上,則為提高權限的系統管理員) 命令提示字元,使用下列命令,在目標電腦上執行上述登錄指令碼:
Regedit.exe /s Disable_MetaFiles.reg
- 將電腦重新開機。
如何復原因應措施:
- 按一下 [開始],按一下 [執行],在 [開啟] 方塊中輸入 Regedit,然後按一下 [確定]。
- 找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
- 在 [編輯] 功能表中,在 DisableMetaFiles 登錄項目上按一下 [修改]。
- 在 [數值資料] 方塊中輸入 0,然後按一下 [確定]。
- 結束「登錄編輯程式」。
- 將電腦重新開機。
安全性更新部署
如需安全性更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。
致謝
Microsoft 了解資訊安全業界所做的努力,其盡責地透露弱點來協助我們保護客戶。請參閱致謝 (英文) 以取得詳細資訊。
免責聲明
Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。
修訂
- V1.0 (2015 年 4 月 14 日):公告發行。
- V1.1 (2015 年 4 月 29 日):修訂公告,更正所有受影響軟體的更新取代項目。這只是資訊的變更。
頁面產生時間:2015-04-29 10:40Z-07:00。