Microsoft 安全公告 MS05-022
MSN Messenger 中的漏洞可能会导致远程代码执行 (896597)
发布日期:2005 年 4 月 12 日
版本:1.0
摘要
本文的目标读者:使用 MSN Messenger 的客户
漏洞的影响:远程执行代码
最高严重等级:严重
建议:客户应立即应用此更新。
安全更新取代:本公告取代以前的一个安全更新。 有关完整列表,请参阅本公告的“常见问题解答”(FAQ) 部分。
注意事项:无
测试过的软件和安全更新下载位置:
受影响的软件:
| • | MSN Messenger 6.2 - 下载此更新 |
不受影响的软件:
已对此列表中的软件进行了测试,以确定是否这些版本会受到影响。 其他版本或者不再包括安全更新支持,或者可能不会受到影响。 要确定产品和版本的技术支持生命周期,请访问 Microsoft 产品技术支持生命周期网站。
摘要:
此更新可消除一个秘密报告的新发现漏洞。 本公告的“漏洞详细资料”部分中对此漏洞进行了说明。
成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
严重等级和漏洞标识:
漏洞标识 | 安全漏洞的影响 | MSN Messenger 6.2 |
MSN Messenger 漏洞 - CAN-2005-0562 | 远程执行代码
| 严重
|
所有漏洞的综合严重程度 | | 严重
|
此评估是基于以下几点作出的:受此漏洞影响的系统类型,它们的典型部署模式,以及利用此漏洞会对它们产生什么影响。
此版本取代哪些更新?
此安全更新替代以前的一个安全更新。 下表列出了相应的安全公告 ID 和受影响的操作系统:
公告 ID | MSN Messenger 6.2 |
MS05-009 | 已取代
|
可否使用 Microsoft Baseline Security Analyzer (MBSA) 确定是否需要此更新?
否。 MBSA 不支持 MSN Messenger,不会检测受影响的软件是否需要更新。 但是,Microsoft 已开发出 Enterprise Update Scanning Tool (EST) 的一个版本,帮助客户确定是否需要 MSN Messenger 安全更新。
有关 MBSA 当前不检查的程序的详细信息,请参阅 Microsoft 知识库文章 306460。 有关 MBSA 的详细信息,请访问 MBSA 网站。
什么是 Enterprise Update Scanning Tool (EST)?
Microsoft 始终坚持为公告级别的安全更新提供检测工具,一旦 Microsoft Baseline Security Analyzer (MBSA) 和 Office Detection Tool (ODT) 不能检测 MSRC 发行周期是否需要更新,Microsoft 将提供独立的检测工具。 此独立工具称为“Enterprise Update Scanning Tool (EST)”,是为企业管理员设计的。 在为特定公告创建 Enterprise Update Scanning Tool 的某个版本之后,客户可以通过命令行界面 (CLI) 来运行该工具并查看 XML 输出文件的结果。 为帮助客户更好地利用此工具,此工具附带详细说明文档。 另外,此工具还有一个版本,用来为 SMS 管理员提供的综合体验。
是否可以使用 Enterprise Update Scanning Tool (EST) 的某个版本来确定是否需要此更新?
是。 Microsoft 已开发出 EST 的一个版本,帮助确定是否需要应用此更新。 有关本月发行的 EST 版本的详细信息,请参阅下面的 Microsoft 网站。 有关本月发行的 EST 版本的详细部署信息,请参阅下面的 Microsoft 网站。
另外,本工具还有一个版本,SMS 客户可以下面的 Microsoft 网站下载。 SMS 客户也可从 SMS 网站获得此工具。
可否使用 Systems Management Server (SMS) 确定是否需要此更新?
否。 SMS 使用 MBSA 进行检测,MBSA 不对此更新进行检测。 有关 SMS 的信息,请访问 SMS 网站。
不过,SMS 客户还可从下面的 Microsoft 网站获得另一个 EST 版本,该版本为 SMS 管理员提供综合体验。
检测 Microsoft Windows 及其他受影响的 Microsoft 产品需要 Security Update Inventory Tool。 有关 Security Update Inventory Tool 的限制的详细信息,请参阅 Microsoft 知识库文章 306460
有关 SMS 的详细信息,请访问 SMS 网站。
您可以使用 SMS 的清单和软件分发功能部署此更新。
| MSN Messenger 漏洞 - CAN-2005-0562: |
MSN Messenge 中存在远程执行代码漏洞,成功利用此漏洞的攻击者可以完全控制受影响的系统。
| MSN Messenger 漏洞 (CAN-2005-0562) 的缓解因素: |
默认情况下,MSN Messenger 不允许匿名用户向您发送信息。 攻击者首先必须诱使您将其添加到您的联系人列表中。
| MSN Messenger 漏洞 (CAN-2005-0562) 的变通方法: |
Microsoft 已测试过以下变通办法。 尽管这些变通办法不能从根本上消除此漏洞,但它们有助于阻止已知的攻击媒介。 如果某种变通办法导致功能下降,下一节中将进行说明。
| • | 查看当前您的联系人列表中所有联系人,并删除或阻止任何您不认识、不信任或不再需要的联系人。 |
| • | 不要接受您不认识或不信任的联系人传送的文件。 |
| • | 在公司环境中禁止访问 MSN Messenger 和 Web Messenger。 |
| • | 在公司环境中禁止访问传出端口 1863。 注意,建立直接连接后, MSN Messenger Service 通过端口 1863 连接。 如果无法建立直接连接,MSN Messenger Service 则通过端口 80 连接。 |
| • | 禁止对 gateway.messenger.hotmail.com 的 HTTP 访问。 如果要禁止访问 MSN Web Messenger,则还需要禁止对 webmessenger.msn.com 的 HTTP 访问。 变通方法的影响:MSN Messenger 客户端将无法连接至 MSN Messenger 网络 |
| MSN Messenger 漏洞 (CAN-2005-0562) 的常见问题解答: |
此漏洞是否影响 MSN Messenger 7.0 试用版?
是。 MSN Messenger 7.0 试用版发布后,报告了此漏洞。 我们鼓励运行 MSN Messenger 7.0 试用版的客户升级发布的软件版本,该版本不容易受到攻击。
此漏洞的影响范围有多大?
这是一个远程执行代码漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
造成漏洞的原因是什么?
MSN Messenger 能够呈现和查看 GIF 图像格式的文件。 MSN Messenger 可能不会正确处理高度和宽度不正确的格式错误的 GIF 图像。
什么是 GIF?
GIF 表示“图形交换格式”(Graphic Interchange Format)。 它是较旧的 256 色调色板,与 8 位的视频板更兼容。 已被 PNG 和 TIF 图形格式广泛取代。
攻击者可能利用此漏洞执行什么操作?
成功利用此漏洞的攻击者可以完全控制受影响的系统。
哪些人可能会利用此漏洞?
要利用此漏洞,攻击者必须诱使用户将其添加到联系人列表中,并发送特制图释或显示图片。
受此漏洞威胁最大的系统有哪些?
工作站和终端服务器受到的威胁最大。 当没有足够管理凭据的用户被授予登录到服务器并运行程序的权限时,服务器会更有危险。 不过,最佳做法是不要授予这样的权限。
Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 是否会受此漏洞的严重影响?
是。 运行 MSN Messenger 受影响版本的客户应安装 MSN Messenger 的更新版本。
此更新有什么作用?
此更新通过修改 MSN Messenger 在处理 GIF 文件之前对其进行验证的方式来消除此漏洞。
发布此安全公告时,此漏洞是否已公开披露?
否。 Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。
这个漏洞与由 MS05-009 纠正的 PNG 处理漏洞之间有什么关系?
两个漏洞都影响图形格式。 但是,此更新解决的是 MS05-009 未解决的不同图形格式类型中的新漏洞。 MS05-009 有助于防止受到该公告中所述的漏洞的影响,但没有消除这一新漏洞。 此更新取代 MSN Messenger 的 MS05-009。
受影响的软件:
有关您的受影响软件的特定安全更新信息,请单击相应的链接:
先决条件
此安全更新需要 MSN Messenger 6.2。
重新启动要求
此更新可能需要重新启动计算机。
删除信息
无法卸载此更新。
验证更新安装
要验证受影响的系统中是否安装了安全更新,请执行下列步骤:
1. 在 MSN Messenger 中,单击“帮助”,然后单击“关于”。
2. 检查版本号。
如果版本号显示为 6.2.208 或更高,说明此更新已成功安装。
鸣谢
Microsoft 感谢下列人员或组织与我们一起致力于保护客户的利益:
| • | hongzhenzhou,他报告了 MSN Messenger 漏洞 (CAN-2005-0562) |
获取其他安全更新:
可从以下位置获得针对其他安全问题的更新:
支持:
| • | 美国和加拿大的用户可拨打电话 1-866-PCSAFETY,从 Microsoft 产品支持服务获得技术支持。与安全更新有关的电话支持服务是免费的。 |
| • | 其他国家(或地区)的用户可从当地的 Microsoft 分公司获得支持。与安全更新有关的支持服务不收取任何费用。有关如何就支持问题与 Microsoft 取得联系方面的详细信息,请访问国际支持 Web 站点。 |
安全性资源:
软件更新服务:
通过使用 Microsoft 软件更新服务 (SUS),管理员可以在基于 Windows 2000 和 Windows Server 2003 的服务器以及运行 Windows 2000 Professional 或 Windows XP Professional 的台式机系统上快速而可靠地部署最新的重要更新和安全更新。
有关如何使用软件更新服务部署此安全更新的详细信息,请访问软件更新服务 Web 站点。
Systems Management Server:
Microsoft Systems Management Server (SMS) 提供了一个用于管理更新且可高度配置的企业解决方案。通过使用 SMS,管理员可以确定需要安全更新且基于 Windows 的系统,并在整个企业中以可控制的方式执行这些更新的部署,而只对最终用户造成最低程度的干扰。有关管理员如何使用 SMS 2003 来部署安全更新的详细信息,请参见 SMS 2003 安全修补程序管理 Web 站点。SMS 2.0 用户还可以使用软件更新服务功能包帮助部署安全更新。有关 SMS 的信息,请访问 SMS Web 站点。
注意:SMS 使用 Microsoft 基准安全分析器和 Microsoft Office 检测工具,提供对安全公告更新检测和部署的广泛支持。这些工具可能检测不到某些软件更新。在这些情况下,管理员可以使用 SMS 的清单功能将更新部署到特定系统上。有关这一过程的详细信息,请参见以下 Web 站点。某些安全更新在重新启动系统后可能需要管理权限。管理员可以使用提升权限部署工具(在 SMS 2003 管理功能包和 SMS 2.0 管理功能包中提供)来安装这些更新。
免责声明:
Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。
修订:
V1.0(2005 年 4 月 12 日):已发布公告
