Microsoft 安全性布告欄 MS15-035 - 重大
Microsoft Graphics 元件中的弱點可能會允許遠端程式代碼執行 (3046306)
發佈時間: 2015 年 4 月 14 日 |更新日期:2015年4月29日
版本: 1.1
執行摘要
此安全性更新可解決 Microsoft Windows 中的弱點。 如果攻擊者成功說服使用者流覽至特製網站、開啟特製檔案,或流覽至包含特製增強型元檔 (EMF) 影像檔的工作目錄,此弱點可能會允許遠端程式代碼執行。 不過,在所有情況下,攻擊者都無法強制用戶採取這類動作:攻擊者必須說服使用者這樣做,通常是透過電子郵件或 Instant Messenger 訊息中的誘因。
此安全性更新會針對所有支援的 Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 版本評為「重大」。 如需詳細資訊,請參閱 受影響的軟體 一節。
安全性更新可藉由修正 Windows 處理 EMF 檔案的方式來解決弱點。 如需弱點的詳細資訊,請參閱 弱點資訊 一節。
如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章3046306。
受影響的軟體
下列軟體版本或版本受到影響。 未列出的版本或版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱 Microsoft 支援服務 生命週期。
嚴重性評等和弱點標識碼
下列嚴重性評等假設弱點的潛在最大影響。 如需有關此安全性布告欄發行 30 天內有關弱點嚴重性評等和安全性影響之惡意探索性的資訊,請參閱 4 月公告摘要中的惡意探索性索引。
| 受影響軟體的弱點嚴重性分級和安全性影響上限 | ||
|---|---|---|
| 受影響的軟體 | EMF 處理遠端程式代碼執行弱點 - CVE-2015-1645 | 匯總嚴重性評等 |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3046306) | 重大 遠端程式代碼執行 | 重大 |
| Windows Server 2003 x64 Edition Service Pack 2 (3046306) | 重大 遠端程式代碼執行 | 重大 |
| Windows Server 2003 SP2 for Itanium 型系統 (3046306) | 重大 遠端程式代碼執行 | 重大 |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3046306) | 重大 遠端程式代碼執行 | 重大 |
| Windows Vista x64 Edition Service Pack 2 (3046306) | 重大 遠端程式代碼執行 | 重大 |
| Windows Server 2008 | ||
| Windows Server 2008 for 32 位系統 Service Pack 2 (3046306) | 重大 遠端程式代碼執行 | 重大 |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (3046306) | 重大 遠端程式代碼執行 | 重大 |
| Windows Server 2008 for Itanium 型系統 Service Pack 2 (3046306) | 重大 遠端程式代碼執行 | 重大 |
| Windows 7 | ||
| Windows 7 for 32 位系統 Service Pack 1 (3046306) | 重大 遠端程式代碼執行 | 重大 |
| Windows 7 for x64 型系統 Service Pack 1 (3046306) | 重大 遠端程式代碼執行 | 重大 |
| Windows Server 2008 R2 | ||
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (3046306) | 重大 遠端程式代碼執行 | 重大 |
| Windows Server 2008 R2 for Itanium 型系統 Service Pack 1 (3046306) | 重大 遠端程式代碼執行 | 重大 |
| Server Core 安裝選項 | ||
| Windows Server 2008 for 32 位系統 Service Pack 2 (Server Core 安裝) (3046306) | 重大 遠端程式代碼執行 | 重大 |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) (3046306) | 重大 遠端程式代碼執行 | 重大 |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) (3046306) | 重大 遠端程式代碼執行 | 重大 |
弱點資訊
EMF 處理遠端程式代碼執行弱點 - CVE-2015-1645
遠端程式代碼執行弱點存在於 Microsoft Windows 處理特定、特別製作的 增強型元檔 (EMF) 影像格式檔案的方式。 成功利用弱點的攻擊者,可能會以登入的使用者身分執行任意程序代碼。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。 如果使用者以系統管理用戶權力登入,攻擊者可能會完全控制受影響的系統。 帳戶設定為具有較少使用者權限的使用者,與使用系統管理使用者權限的使用者相比,所受的影響可能較小。
在 Web 型攻擊案例中,攻擊者可以裝載特製的網站,其設計目的是透過 Internet Explorer 惡意探索弱點,然後說服用戶檢視網站。 這也可能包括接受或裝載使用者提供之內容或橫幅廣告的遭入侵網站或網站;這類網站可能包含專為惡意探索弱點而設計的特製內容。 不過,在所有情況下,攻擊者都無法強制用戶流覽這類網站。 相反地,攻擊者必須說服使用者這樣做,通常是讓他們按兩下電子郵件或Instant Messenger 要求中的連結。
在電子郵件攻擊案例中,攻擊者可能會傳送特製的電子郵件,或將特製 Office 檔傳送為附件,並說服使用者讀取郵件或開啟檔案,以利用弱點。
攻擊者也可以在網路共享上裝載惡意圖像檔,並說服用戶流覽至 Windows 檔案總管中的資料夾,來利用此弱點。
安全性更新可藉由修正 Windows 處理 EMF 檔案的方式來解決弱點。
Microsoft 透過協調的弱點洩漏收到此弱點的相關信息。 發佈此安全性布告欄時,Microsoft 未收到任何資訊,指出此弱點已公開用來攻擊客戶。
緩和因素
Microsoft 尚未識別此弱點的任何 緩和因素 。
因應措施
下列 因應措施 可能對您的情況有所説明:
修改登錄來關閉元文件處理
已套用925902更新或使用 Windows Vista、Windows Server 2008、Windows 7 或 Windows Server 2008 R2 的 Windows Server 2003 客戶,可以修改登錄來停用元文件處理。 此設定可協助保護受影響的系統,避免嘗試惡意探索此弱點。使用 Manual 方法:
警告 如果您使用註冊表編輯器不正確,可能會造成嚴重問題,而可能需要重新安裝操作系統。 Microsoft 無法保證您可以解決使用註冊表編輯器不正確所造成的問題。 請自行承擔使用登錄編輯程式的風險。
按兩下 [開始],按兩下 [執行],在 [開啟] 方塊中輸入 Regedit,然後按兩下 [確定]。
找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize在 [ 編輯 ] 功能表上,指向 [ 新增],然後按兩下 [DWORD]。
輸入 DisableMetaFiles,然後按 ENTER。
在 [ 編輯] 功能表上,按兩下 [修改 ] 以修改 DisableMetaFiles 登錄專案。
在 [ 值數據 ] 方塊中,輸入 1,然後按兩下 [ 確定]。
結束 [登錄編輯程式]。
重新啟動電腦。
因應措施的影響。 關閉元文件處理可能會導致軟體或系統元件品質降低。 關閉元文件處理也可能導致軟體或系統元件完全失敗。 它已被識別為有潛在的重大功能影響,應仔細評估及測試,以判斷其適用性。
範例包括如下:
- 您無法在電腦上列印。
- 計算機上的某些應用程式可能無法顯示 Clipart。
- 某些涉及 OLE 轉譯的案例可能會中斷。 特別是當物件伺服器不在作用中時,就會發生此情況。
如需此設定的詳細資訊,請參閱 Microsoft 知識庫文章941835。
使用受控部署文稿:
將下列項目儲存至具有的檔案。REG 延伸模組 (例如,Disable_MetaFiles.reg):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize] "DisableMetaFiles"=dword:00000001使用系統管理員的下列命令,在目標計算機上執行上述登錄腳本(在 Vista 上,提升許可權的系統管理員)命令提示字元:
Regedit.exe /s Disable_MetaFiles.reg重新啟動電腦。
如何複原因應措施:
按兩下 [開始],按兩下 [執行],在 [開啟] 方塊中輸入 Regedit,然後按兩下 [確定]。
找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize在 [ 編輯] 功能表上,單擊 DisableMetaFiles 登錄專案上的 [修改 ]。
在 [ 值數據] 方塊中,輸入 0,然後按兩下 [ 確定]。
結束登錄編輯程式。
重新啟動電腦。
安全性更新部署
如需安全性更新部署資訊,請參閱執行摘要中參考的 Microsoft 知識庫文章。
通知
Microsoft 可辨識安全性社群中協助我們透過協調弱點洩漏保護客戶的工作。 如需詳細資訊,請參閱通知。
免責聲明
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2015 年 4 月 14 日): 公告發佈。
- V1.1 (2015 年 4 月 29 日):公告修訂為更正所有受影響軟體的更新取代專案。 這隻是參考性變更。
頁面產生的 2015-04-29 10:40Z-07:00。