搜索安全公告

Microsoft 安全公告摘要 — 2004 年 6 月

发布日期:2004 年 6 月 8 日
版本号:1.0

可通过访问以下 Web 站点,获取本通报的最终用户版本。

保护您的 PC:Microsoft 在以下位置中提供了关于您如何帮助保护 PC 的信息。

最终用户可以访问保护您的 PC Web 站点

IT 专业人士可以访问安全指南中心 Web 站点。

更新管理策略:修补程序管理、安全更新和下载 Web 站点提供了 Microsoft 有关应用安全更新的最佳做法建议的更多信息。

IT 专业人士安全区域社区:了解如何提高安全性和优化 IT 基础结构,并在 IT 专业人士安全区域 Web 站点与其他 IT 专业人士一起就安全话题展开讨论。

Microsoft 安全性通告服务:要在发布 Microsoft 安全公告时收到自动电子邮件通知,请订阅 Microsoft 安全性通告服务

摘要

本通报中包含新发现漏洞的更新。可按严重程度将这些漏洞分为:

中等 (2)

公告标识Microsoft 安全公告 MS04-016

公告标题

DirectPlay 中的漏洞可能允许拒绝服务 (839643)

摘要

由于没有可靠的数据包验证,Microsoft DirectPlay 的 IDirectPlay4 API 中存在拒绝服务漏洞。

最高严重等级

中等

安全漏洞的影响

拒绝服务

受影响的软件

Windows。有关更多信息,请参见“受影响的软件和下载位置”部分。

公告标识Microsoft 安全公告 MS04-017

公告标题

位于 Crystal Reports Web 窗体查看器中的漏洞可能允许信息泄露和拒绝服务 (842689)

摘要

Business Objects 的 Crystal Reports 和 Crystal Enterprise 中存在目录遍历漏洞,该漏洞可能允许在受影响的系统上进行信息泄露和拒绝服务攻击。

最高严重等级

中等

安全漏洞的影响

信息泄露和拒绝服务

受影响的软件

Visual Studio .NET 2003、Outlook 2003 with Business Contact Manager、Microsoft Business Solutions CRM 1.2。有关更多信息,请参见“受影响的软件和下载位置”部分。

Top of sectionTop of section

受影响的软件和下载位置

我如何使用该表呢?

可使用该表了解可能需要安装的安全更新。您应该查看列出的每个软件程序或组件,了解是否有必须安装的安全更新。如果列出了一个软件程序或组件,则会列出漏洞的影响,并且还会使用超链接将其链接到可用的软件更新。

在该表中,方括号 [x] 中的数字表示有一个详细解释该问题的说明。这些说明位于该表的底部。

注意:您可能必须为单个漏洞安装几个安全更新。查看列出的每个公告标识的整列,核实必须安装的更新(基于系统上已安装的程序或组件)。

例如,安全公告“MS04-017”提供几个可能需要安装的安全更新,具体情况取决于安装的受影响软件和受影响组件。

受影响的软件和下载位置

详细资料 详细资料

公告标识

MS04-016

MS04-017

最高严重等级

中等

中等

受影响的 Windows 软件:

Windows Server™ 2003

下载更新

Windows Server 2003 64-Bit Edition

下载更新 [英文]

Windows XP

下载更新

Windows XP Service Pack 1

下载更新

Windows XP 64-Bit Edition Version 2003

下载更新 [英文]

Windows XP 64-Bit Edition Service Pack 1

下载更新 [英文]

Windows 2000 Service Pack 2

下载更新

Windows 2000 Service Pack 3

下载更新

Windows 2000 Service Pack 4

下载更新

Windows NT® Workstation 4.0 Service Pack 6a

[1]

Windows NT Server 4.0 Service Pack 6a

[1]

Windows NT Server 4.0 Terminal Server Edition Service Pack 6

[1]

Windows Millennium Edition (Me)

[2]

Windows 98 Second Edition (SE)

[1]

Windows 98

[1]

受影响的 Windows 操作系统组件:

DirectX 8.0, 8.0a - (For Windows 2000)

下载更新

DirectX 8.1, 8.1a, 8.1b - (For Windows 2000)

下载更新

DirectX 8.2 - (For Windows 2000 and Windows XP)

下载更新

DirectX 9.0, 9.0a, 9.0b - (For Windows 2000 or later)

下载更新

受影响的 Office 软件:

Outlook 2003 with Business Contact Manager

下载更新 [英文]

受影响的 .NET 开发工具和平台:

Visual Studio .NET 2003

下载更新

受影响的其他 Microsoft 软件:

Microsoft Business Solutions CRM 1.2

注意:

[1] 默认情况下,此操作系统不会受到该问题的影响。但是,如果安装了其他软件程序或组件,此操作系统可能会容易受到攻击。有关更详细信息,请参见相应的安全公告。

[2] 如果您使用 Windows XP 或 Windows Server 2003,则不必安装此更新。要获得更详细信息,请参见相应的安全公告

[3] 如果您使用 Windows XP 或 Windows Server 2003,则不必安装此更新,除非您在开发使用 .NET Framework 版本 1.0 SDK、Visual Studio .NET 2002、Visual Studio .NET 2003 或 Platform SDK 可重新分发的版本:GDI+ 重新分发 Gdiplus.dll 文件的应用程序。有关更详细信息,请参见受影响的安全公告

Top of sectionTop of section
Top of sectionTop of section

部署

软件更新服务:

通过使用 Microsoft 软件更新服务 (SUS),管理员可以在基于 Windows 2000 和 Windows Server 2003 的服务器以及运行 Windows 2000 Professional 或 Windows XP Professional 的台式机系统上快速而可靠地部署最新的重要更新和安全更新。

有关如何使用软件更新服务部署此安全更新的更多信息,请访问软件更新服务 Web 站点

Systems Management Server:

Microsoft Systems Management Server (SMS) 提供了一个用于管理更新且可高度配置的企业解决方案。通过使用 SMS,管理员可以确定需要安全更新且基于 Windows 的系统,并在整个企业中以可控制的方式执行这些更新的部署,而只对最终用户造成最低程度的干扰。有关管理员如何使用 SMS 2003 来部署安全更新的更多信息,请参见 SMS 2003 安全修补程序管理 Web 站点。SMS 2.0 用户还可以使用软件更新服务功能包帮助部署安全更新。有关 SMS 的信息,请访问 SMS Web 站点

注意:SMS 使用 Microsoft 基准安全分析器和 Microsoft Office 检测工具,提供对安全公告更新检测和部署的广泛支持。这些工具可能检测不到某些软件更新。在这些情况下,管理员可以使用 SMS 的清单功能将更新部署到特定系统上。有关这一过程的更多信息,请访问以下 Web 站点。某些安全更新在重新启动系统后可能需要管理权限。管理员可以使用提升权限部署工具(在 SMS 2003 管理功能包SMS 2.0 管理功能包中提供)来安装这些更新。

QChain.exe 和 Update.exe:

Microsoft 已发布了一个名为 QChain.exe 的命令行工具,系统管理员可使用它将安全更新安全地链接在一起。“链接”是指您在安装多个更新时,在两个安装之间不需要重新启动。此通报中描述的更新所使用 Update.exe 内置了链接功能。使用 Windows 2000 Service Pack 2 或更高版本、Windows XP 或 Windows Server 2003 的用户不需要使用 Qchain.exe 来链接这些更新。Qchain.exe 仍支持将这些 Windows 更新链接在一起,以使管理员在所有平台上创建一致的部署脚本。有关 Qchain 的更多信息,请访问此 Web 站点

Microsoft 基准安全分析器:

管理员可使用 Microsoft 基准安全分析器 (MBSA),在本地和远程系统中扫描缺少的安全更新以及常见的安全配置错误。有关 MBSA 的更多信息,请访问 Microsoft 基准安全分析器 Web 站点

Top of sectionTop of section

其他信息:

鸣谢

Microsoft 感谢下列人员或组织与我们一起致力于保护用户的利益:

Tenable Network Security 的 John Lampe,向我们报告了 MS04-016 中描述的问题。

Business Objects,向我们报告了 MS04-017 中描述的问题。

获取其他安全更新:

可从以下位置获得针对其他安全问题的更新:

Microsoft 下载中心上提供了安全更新。通过搜索关键字“安全修补程序”,可以非常方便地找到这些更新。

可从 Windows Update Web 站点获得有关用户平台的更新。

支持:

美国和加拿大的用户可拨打电话 1-866-PCSAFETY,从 Microsoft 产品支持服务获得技术支持。与安全更新有关的电话支持服务是免费的。

其他国家(或地区)的用户可从当地的 Microsoft 分公司获得支持。与安全更新有关的支持服务不收取任何费用。有关如何就支持问题与 Microsoft 取得联系方面的更多信息,请访问国际支持 Web 站点

安全性资源:

Microsoft TechNet 安全性 Web 站点提供了有关 Microsoft 产品安全性的更多信息。

Microsoft 软件更新服务

Microsoft 基准安全分析器 (MBSA)

Windows Update

Windows Update 目录:有关 Windows Update 目录的更多信息,请参见 Microsoft 知识库文章 323166

Office Update

免责声明:

Microsoft 知识库中的信息按“原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本:

V1.0(2004 年 6 月 8 日):已发布公告

Top of sectionTop of section

返回页首返回页首