Microsoft 安全公告 MS05-011

服务器消息块 (SMB) 中存在远程执行代码漏洞，成功利用此漏洞的攻击者可以完全控制受影响的系统。

•	使用广播数据包的基于网络的攻击通常限于本地子网，因为大多数路由器不转发广播数据包。
•	采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业外部发起的攻击。 按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。 默认情况下，作为 Windows XP Service Pack 2 的一部分提供的 Windows 防火墙会阻止受影响的端口响应基于网络利用此漏洞的尝试。 但是，Windows XP Service Pack 2 在基于网络的攻击情形下仍有漏洞。
•	在基于 Web 的攻击中，攻击者必须拥有一个网站，并在上面放置用来利用此漏洞的网页。 攻击者还可能尝试构建一个网站并且通过它来显示带有恶意内容的网页。 攻击者无法强迫用户访问网站。 相反，攻击者必须劝诱用户访问该网站，通常是让用户单击通向攻击者站点或攻击者构建的站点的链接。
•	不会通过电子邮件自动利用此漏洞。 用户必须单击电子邮件中的链接，以电子邮件为载体的攻击才会得逞。

Top of section

Microsoft 已测试过以下变通办法。 尽管这些变通办法不能从根本上消除此漏洞，但它们有助于阻止已知的攻击媒介。 如果某种变通办法导致功能下降，下一节中将进行说明。

注 IPX/SPX 等其他协议容易出现此问题。 如果使用这些协议，对这些协议阻止相应的端口很重要。 有关 IPX/SPX 的详细信息，请访问以下 Microsoft 网站。

•	在防火墙处阻止 TCP 端口 139 和 445： 这些端口用于启动与受影响协议的连接。 将其阻止在防火墙处（入站和出站），有助于保护位于防火墙后面的系统免受利用此漏洞进行的攻击。 我们建议阻止所有来自 Internet 的未经请求的入站通信，以帮助防止可能使用其他端口进行的攻击。 有关这些端口的详细信息，请访问以下网站。
•	为防止攻击者执行基于网络的尝试以利用此漏洞，请使用个人防火墙，如 Internet 连接防火墙。Windows XP 和 Windows Server 2003 附带此防火墙。 默认情况下，Windows XP 和 Windows Server 2003 中的“Internet 连接防火墙”功能会通过阻止未经请求的传入通信来帮助保护您的 Internet 连接。 我们建议您阻止所有来自 Internet 的非法传入通信。 要使用“网络安装向导”启用“Internet 连接防火墙”功能，请按照以下步骤进行操作： 1. 单击“开始”，然后单击“控制面板”。 2. 在默认的“分类视图”中，单击“网络和 Internet 连接”，然后单击“设置或更改您的家庭或小型办公网络”。 在“网络安装向导”中将系统配置为直接连接至 Internet 后，就启用了 Internet 连接防火墙功能。 要为连接手动配置 Internet 连接防火墙，请按照以下步骤进行操作： 1. 单击“开始”，然后单击“控制面板”。 2. 在默认的“分类视图”中，单击“网络和 Internet 连接”，然后单击“网络连接”。 3. 右键单击要启用“Internet 连接防火墙”的连接，然后单击“属性”。 4. 单击“高级”选项卡。 5. 单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机或网络”复选框，然后单击“确定”。 注 如果要通过防火墙启用某些程序和服务以进行通信，请单击“高级”选项卡上的“设置”，然后选择所需的程序、协议和服务。
•	为防止攻击者执行基于网络的尝试以利用此漏洞，请使用个人防火墙，在支持TCP/IP 筛选功能的系统上启用高级 TCP/IP 筛选。 可以启用高级 TCP/IP 筛选功能来阻止所有非法入站通信。 有关如何配置 TCP/IP 筛选功能的详细信息，请参阅 Microsoft 知识库文章 309798。
•	为防止攻击者执行基于网络的尝试以利用此漏洞，请使用个人防火墙，通过在受影响的系统上使用 IPSec 来阻止影响的端口。 使用 Internet 协议安全 (IPSec) 有助于保护网络通信。 有关 IPSec 以及如何应用筛选器的详细信息，请参阅 Microsoft 知识库文章 313190 和 813878。

Top of section

此漏洞的影响范围有多大？
这是一个远程执行代码漏洞。 成功利用此漏洞的攻击者可以远程完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

造成漏洞的原因是什么？
这一漏洞是由于受影响的操作系统用于验证某些传入的 SMB 数据包的进程引起的。

什么是 SMB？
服务器消息块 (SMB) 及其后续版本公共 Internet 文件系统 (CIFS) 是 Windows 用来共享文件、打印机、串行端口以及 在计算机之间进行通信的 Internet 标准协议。 为此，SMB 使用命名管道和邮件插槽。 在网络环境中，服务器使客户端可以使用文件系统和资源。 客户端发出 SMB 资源请求。 服务器作出 SMB 响应。 可描述为客户端服务器请求-响应协议。

此漏洞同样影响 CIFS 吗？
公共 Internet 文件系统 (CIFS) 是 Internet 标准协议。 此处所述之漏洞存在于 Microsoft 的协议实施之中，而非协议本身内。

攻击者可能利用此漏洞执行什么操作？
成功利用此漏洞的攻击者可以完全控制受影响的系统。

哪些人可能会利用此漏洞？
任何可向受影响的系统传送特制消息的匿名用户都可以尝试利用此漏洞。

攻击者能够如何利用此漏洞？
攻击者可通过各种方式利用此漏洞。 攻击者可以使用以下方式通过网络直接利用此漏洞：创建一系列特制消息，并将这些消息发送至受影响的系统。 这些消息可能需要攻击者使用广播数据包。 这样，这些消息可能导致受影响的系统执行代码。 需要使用广播数据包的基于网络的攻击通常限于本地子网，原因是路由器通常不转发广播数据包。

另外，攻击者可能试图通过诱使用户查看或预览这封包含 URL 的邮件消息，并单击该 URL 来利用此漏洞。

攻击者也可能通过其他媒介访问受影响的组件。 例如，攻击者可以通过使用其他程序，将参数传递给容易受到攻击的组件（本地或远程）。

受此漏洞威胁最大的系统有哪些？
这一漏洞对所有受影响的操作系统都构成威胁。 默认情况下，作为 Windows XP Service Pack 2 的一部分提供的 Windows 防火墙会阻止受影响的端口响应基于网络利用此漏洞的尝试。 但是，Windows XP Service Pack 2 在基于网络的攻击情形下仍有漏洞。

是否可以通过 Internet 利用此漏洞？
是。 攻击者可能试图通过 Internet 来利用此漏洞。 采用防火墙最佳做法和标准默认防火墙配置，有助于保证免受来自 Internet 的攻击。 Microsoft 提供了关于如何帮助保护您的 PC 的信息。 最终用户可以访问保护您的 PC 网站。 IT 专业人士可以访问安全指南中心网站。

此更新有什么作用？
此更新通过修改受影响的操作系统在将数据传递到分配的缓冲区之前验证 SMB 网络数据包的方式来消除此漏洞。

发布此安全公告时，此漏洞是否已公开披露？
否。 Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。 在最初发布此安全公告时，Microsoft 未收到任何表明此漏洞已公开披露的信息。

在发布此安全公告时，Microsoft 是否收到任何有关此漏洞已被利用的报告？
否。 在最初发布此安全公告时，Microsoft 未收到任何表明此漏洞已被公开用于攻击客户的信息，也没有看到任何发布的概念代码证明示例。

Top of section

先决条件
此安全更新需要 Windows Server 2003 的发布版本。

包括在将来的 Service Pack 中：
此问题的更新将包括在 Windows Server 2003 Service Pack 1 中。

安装信息

此安全更新支持以下安装开关：

      /help                 显示命令行选项

安装模式

      /quiet                安静模式（无用户交互或显示）

      /passive            无人参与模式（只显示进度栏）

      /uninstall          卸载程序包

重新启动选项

      /norestart          安装完成后不重新启动

      /forcerestart      安装完成后重新启动

特殊选项

      /l                       列出已安装的 Windows 修复程序或更新程序包

      /o                       不经提示而覆盖 OEM 文件

      /n                       不备份卸载所需的文件

      /f                       在计算机关机时强制关闭其他程序

      /integrate:path  将更新集成到位于指定路径的 Windows 源文件中

      /extract             提取文件而不启动安装程序

注 这些开关可以在一个命令中组合使用。 为了保持向后兼容，此安全更新还支持以前版本的安装程序所使用的安装开关。 有关受支持的安装开关的详细信息，请参阅 Microsoft 知识库文章 262841。 有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。

部署信息

对于 Windows Server 2003，要在没有任何用户干预的情况下安装此安全更新，请在命令提示符处使用以下命令：

Windowsserver2003-kb885250-x86-enu /passive /quiet

对于 Windows Server 2003，要安装此安全更新而不强制重新启动系统，请在命令提示符处使用以下命令：

Windowsserver2003-kb885250-x86-enu /norestart

有关如何使用软件更新服务部署此安全更新的信息，请访问软件更新服务网站。

重新启动要求

应用此安全更新后，必须重新启动系统。

删除信息

要删除此更新，请使用“控制面板”中的“添加/删除程序”工具。

系统管理员也可以使用 Spuninst.exe 实用工具删除此安全更新。 Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB885250$\Spuninst 文件夹中。 Spuninst.exe 实用工具支持以下安装开关：

      /help                 显示命令行选项

安装模式

      /quiet                安静模式（无用户交互或显示）

      /passive            无人参与模式（只显示进度栏）

重新启动选项

      /norestart          安装完成后不重新启动

      /forcerestart      安装完成后重新启动

特殊选项

      /f                       在计算机关机时强制关闭其他程序

文件信息

此安全更新的英文版具有下表所列的文件属性。 这些文件的日期和时间以协调世界时 (UTC) 列出。 当您查看文件信息时，它将转换为本地时间。 要了解 UTC 与本地时间之间的时差，请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。

Windows Server 2003 Web Edition、Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 和 Windows Small Business Server 2003：

Windows Server 2003 Enterprise Edition（用于基于 Itanium 的系统）和 Windows Server 2003 Datacenter Edition（用于基于 Itanium 的系统）：

注 当您在 Windows Server 2003 上安装此安全更新时，安装程序会查看您系统上正在更新的一个或多个文件以前是否已由 Microsoft 修补程序更新。 如果之前已安装了修补程序以更新某个受影响的文件，安装程序就会将 RTMQFE 文件复制到系统中。 否则，安装程序将 RTMGDR 文件复制到系统中。

有关此问题的详细信息，请参阅 Microsoft 知识库文章 824994。

有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。

有关此公告中出现的术语详细信息（如修补程序），请参阅 Microsoft 知识库文章 824684。

验证是否已应用更新

先决条件
此安全更新需要 Microsoft Windows XP Service Pack 1 或更高版本。 有关详细信息，请参阅 Microsoft 知识库文章 322389。

包括在将来的 Service Pack 中：
此问题的更新将包括在将来的 Service Pack 或更新汇总中。

安装信息

此安全更新支持以下安装开关：

      /help                 显示命令行选项

安装模式

      /quiet                安静模式（无用户交互或显示）

      /passive            无人参与模式（只显示进度栏）

      /uninstall          卸载程序包

重新启动选项

      /norestart          安装完成后不重新启动

      /forcerestart      安装完成后重新启动

特殊选项

      /l                       列出已安装的 Windows 修复程序或更新程序包

      /o                       不经提示而覆盖 OEM 文件

      /n                       不备份卸载所需的文件

      /f                       在计算机关机时强制关闭其他程序

      /integrate:path  将更新集成到位于指定路径的 Windows 源文件中

      /extract             提取文件而不启动安装程序

注 这些开关可以在一个命令中组合使用。 为了保持向后兼容，此安全更新还支持以前版本的安装程序所使用的安装开关。 有关受支持的安装开关的详细信息，请参阅 Microsoft 知识库文章 262841。 有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。

部署信息

对于 Microsoft Windows XP，要在没有任何用户干预的情况下安装此安全更新，请在命令提示符处使用以下命令：

Windowsxp-kb885250-x86-enu /passive /quiet

对于 Windows XP，要安装此安全更新而不强制重新启动系统，请在命令提示符处使用以下命令：

Windowsxp-kb885250-x86-enu /norestart

有关如何使用软件更新服务部署此安全更新的信息，请访问软件更新服务网站。

重新启动要求

应用此安全更新后，必须重新启动系统。

删除信息

要删除此安全更新，请使用“控制面板”中的“添加/删除程序”工具。

系统管理员也可以使用 Spuninst.exe 实用工具删除此安全更新。 Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB885250$\Spuninst 文件夹中。 Spuninst.exe 实用工具支持以下安装开关：

      /help                 显示命令行选项

安装模式

      /quiet                安静模式（无用户交互或显示）

      /passive            无人参与模式（只显示进度栏）

重新启动选项

      /norestart          安装完成后不重新启动

      /forcerestart      安装完成后重新启动

特殊选项

      /f                       在计算机关机时强制关闭其他程序

文件信息

此安全更新的英文版具有下表所列的文件属性。 这些文件的日期和时间以协调世界时 (UTC) 列出。 当您查看文件信息时，它将转换为本地时间。 要了解 UTC 与本地时间之间的时差，请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。

Windows XP Home Edition Service Pack 1、Windows XP Professional Service Pack 1、Windows XP Tablet PC Edition、Windows XP Media Center Edition、Windows XP Home Edition Service Pack 2、Windows XP Professional Service Pack 2、Windows XP Tablet PC Edition 2005 和 Windows XP Media Center Edition 2005：

Windows XP 64-Bit Edition Service Pack 1 (Itanium)：

Windows XP 64-Bit Edition Version 2003 (Itanium)：

注 此安全更新的 Windows XP 和 Windows XP 64-Bit Edition Version 2003 (Itanium) 已打包为双模式程序包。 这些双模式程序包包含适用于 Windows XP Service Pack 1 (SP1) 原始版本的文件和适用于 Windows XP Service Pack 2 (SP2) 的文件。

有关双模式程序包的详细信息，请参阅 Microsoft 知识库文章 328848。

当您在 Windows XP SP2 或 Windows XP 64-Bit Edition Version 2003 (Itanium) 上安装此安全更新时，安装程序将检查系统中正在更新的一个或多个文件是否以前被 Microsoft 修补程序更新过。

如果之前已安装了修补程序用于更新受影响的文件，则将视您的操作系统而出现下列情况之一：

如果之前已安装了修补程序用以更新某个受影响的文件，则将视您的操作系统而出现下列情况之一：

有关此问题的详细信息，请参阅 Microsoft 知识库文章 824994。

有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。

有关此公告中出现的术语详细信息（如修补程序），请参阅 Microsoft 知识库文章 824684。

注 对于 Windows XP 64-Bit Edition Version 2003 (Itanium)，此安全更新与 Windows Server 2003（适用于基于 Itanium 的系统）的安全更新相同。

验证是否已应用更新

先决条件
对于 Windows 2000，此安全更新要求 Service Pack 3 (SP3) 或 Service Pack 4 (SP4)。 对于 Small Business Server 2000，此安全更新需要 Small Business Server 2000 Service Pack 1a 或与 Windows 2000 Server Service Pack 4 一起运行的 Small Business Server 2000。

已对列出的软件进行了测试，以确定这些版本是否会受到影响。 其他版本或者不再包括安全更新支持，或者可能不会受到影响。 要确定产品和版本的技术支持生命周期，请访问 Microsoft 产品技术支持生命周期网站。

有关如何获得最新 Service Pack 的详细信息，请参阅 Microsoft 知识库文章 260910。

包括在将来的 Service Pack 中：
此问题的更新将包括在将来的更新汇总中。

安装信息

此安全更新支持以下安装开关：

      /help                 显示命令行选项

安装模式

      /quiet                安静模式（无用户交互或显示）

      /passive            无人参与模式（只显示进度栏）

      /uninstall          卸载程序包

重新启动选项

      /norestart          安装完成后不重新启动

      /forcerestart      安装完成后重新启动

特殊选项

      /l                       列出已安装的 Windows 修复程序或更新程序包

      /o                       不经提示而覆盖 OEM 文件

      /n                       不备份卸载所需的文件

      /f                       在计算机关机时强制关闭其他程序

      /integrate:path  将更新集成到位于指定路径的 Windows 源文件中

      /extract             提取文件而不启动安装程序

注 这些开关可以在一个命令中组合使用。 为了保持向后兼容，此安全更新还支持以前版本的安装程序所使用的安装开关。 有关受支持的安装开关的详细信息，请参阅 Microsoft 知识库文章 262841。 有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。 有关此公告中出现的术语详细信息（如修补程序），请参阅 Microsoft 知识库文章 824684。

部署信息

对于 Windows 2000 Service Pack 3 和 Windows 2000 Service Pack 4，要在没有任何用户干预的情况下安装此安全更新，请在命令提示符处使用以下命令：

Windows2000-kb885250-x86-enu /passive /quiet

对于 Windows 2000 Service Pack 3 和 Windows 2000 Service Pack 4，要安装此安全更新而不强制重新启动系统，请在命令提示符处使用以下命令：

Windows2000-kb885250-x86-enu /norestart

有关如何使用软件更新服务部署此安全更新的详细信息，请访问软件更新服务网站。

重新启动要求

应用此安全更新后，必须重新启动系统。

删除信息

要删除此安全更新，请使用“控制面板”中的“添加/删除程序”工具。

系统管理员也可以使用 Spuninst.exe 实用工具删除此安全更新。 Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB885250$\Spuninst 文件夹中。 Spuninst.exe 实用工具支持以下安装开关：

      /help                 显示命令行选项

安装模式

      /quiet                安静模式（无用户交互或显示）

      /passive            无人参与模式（只显示进度栏）

重新启动选项

      /norestart          安装完成后不重新启动

      /forcerestart      安装完成后重新启动

特殊选项

      /f                       在计算机关机时强制关闭其他程序

文件信息

此安全更新的英文版具有下表所列的文件属性。 这些文件的日期和时间以协调世界时 (UTC) 列出。 当您查看文件信息时，它将转换为本地时间。 要了解 UTC 与本地时间之间的时差，请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。

Windows 2000 Service Pack 3、Windows 2000 Service Pack 4 和 Small Business Server 2000：

验证是否已应用更新