Microsoft 安全性公告 MS04-026

Exchange Server 5.5 Outlook Web Access 中的弱點可能會允許跨網站指令碼和偽造攻擊 (842436)

發佈日期: 2004 年 8 月 11 日
版本: 1.0

摘要

應該閱讀此文件的對象:伺服器要執行 Microsoft® Exchange Server 5.5 Outlook® Web Access 的系統管理員

此弱點的影響:遠端執行程式碼

最高的嚴重性等級:中度

建議:客戶應考慮安裝此安全性更新程式。

安全性更新取代資訊:此更新程式取代 Microsoft 安全性公告 MS03-047 中所提供的安全性更新程式。

警告:客戶如果曾經自訂本文件「檔案資訊」部份所列出的任何動態伺服器網頁 (Active Server Page,ASP),在套用此更新程式之前應該先備份這些檔案,因為在套用更新程式之後將會覆寫這些 ASP 網頁。您必須對新的 ASP 網頁重新進行自訂的作業。

此更新程式相關元件的版本需求:
若要成功安裝這個更新程式,Microsoft Outlook Web Access 伺服器需要:使用 Windows 2000 SP3 必須安裝 Internet Explorer 5.01 Service Pack 3 (SP3);使用 using Windows 2000 SP4 必須安裝 Internet Explorer 5.01 SP4;使用其他支援的系統,則必須安裝 Internet Explorer 6 SP1。

Outlook Web Access Server 上相關元件的版本建議:
目前 Outlook Web Access 伺服器上的相關元件建議使用以下版本:

Microsoft Internet Information Services (IIS):

IIS 4.0 (Windows NT 4.0 SP6)

IIS 5.0 (Windows 2000 SP3 或更新版本)

Microsoft Internet Explorer:

Internet Explorer 6.0

已測試軟體及安全性更新下載位置:

受影響的軟體:

Microsoft Exchange Server 5.5 SP4

不受影響的軟體:

Microsoft Exchange 2000 Server

Microsoft Exchange Server 2003

受影響的元件:

產品名稱英文版中文版

Outlook Web Access

下載

本清單所列出之軟體版本已經過測試以判斷是否受到影響。其他版本已不再包含安全性更新支援,或是並不會受到影響。請瀏覽 Microsoft 技術支援週期網站,以瞭解您的產品及版本的支援生命週期。Outlook Web Access for Exchange Server 5.0 的支援已經結束。

Top of sectionTop of section

一般資訊

提要

提要:

這個更新程式能解決一項新發現且未公開報告的弱點。Outlook Web Access for Exchange Server 5.5 中的一項跨網站指令碼和偽造弱點,可能允許攻擊者以欺騙的方式,讓使用者執行惡意指令碼。本公告的<弱點詳細資訊>部份會提供這項弱點的相關資訊。

一旦攻擊者成功地利用了這項弱點,就可以變更 Web 瀏覽器的快取和中繼 Proxy 伺服器的快取,並且將偽造的內容放入這些快取中。攻擊者也可以利用這項弱點來執行跨網站指令碼攻擊。

我們建議客戶考慮安裝這項安全性更新。

注意:客戶如果曾經自訂本文件「檔案資訊」部份所列出的任何 ASP 網頁,在套用此更新程式之前應該先備份這些檔案,因為在套用更新程式之後將會覆寫這些 ASP 網頁。您必須對新的 ASP 網頁重新進行自訂的作業。如需瞭解 Microsoft 對於自訂 Outlook Web Access 的支援政策,請參閱 Microsoft 知識庫文件編號 327178

嚴重性等級和弱點識別碼:

弱點識別碼弱點的影響Exchange Server 5.5

跨網站指令碼和偽造弱點 - CAN-2004-0203

遠端執行程式碼

中度

此項評估的根據包括:受弱點影響的系統類型、系統的一般部署模式,以及利用弱點對系統所造成的影響後果。

Top of sectionTop of section

與本安全性更新相關的常見問題集 (FAQ)

這次發行的更新程式取代了哪些更新?
此更新程式取代在 Microsoft 安全性公告 MS03-047 中提供的安全性更新程式。

是否能使用 Microsoft Baseline Security Analyzer (MBSA) 來判斷是否需要此更新?
可以。MBSA 能判斷是否需要此更新程式。如需有關 MBSA 的詳細資訊,請參閱 MBSA 網站

注意:2004 年 4 月 20 日之後,MBSA 1.1.1 及更早版本所使用的 Mssecure.xml 檔將不再以新加入的安全性公告資料來更新。因此,於該日期之後運用 MBSA 1.1.1 或更早版本進行的任何掃描,都不會具有完整效果。所有的使用者都應該升級至 MBSA 1.2,因為此版本能提供較為精確的安全性更新偵測,並且能支援其他的產品。使用者可以由 MBSA 網站下載 MBSA 1.2。如需更多有關 MBSA 支援的資訊,請瀏覽 Microsoft Baseline Security Analyzer 1.2 Q&A 網站

是否能使用 Systems Management Server (SMS) 來判斷是否需要此更新?
可以。SMS 能協助偵測及部署本安全性更新。如需關於 SMS 的詳細資訊,請瀏覽 SMS 網站

Top of sectionTop of section

弱點詳細資料

跨網站指令碼和偽造弱點 - CAN-2004-0203:

這是一個跨網站指令碼和偽造弱點。此弱點可能允許攻擊者以欺騙的方式,讓使用者執行惡意指令碼。如果執行了此惡意指令碼,它將會在使用者的安全性內容中執行。嘗試利用這項弱點需要使用者的互動。此弱點可能允許攻擊者存取 Outlook Web Access 伺服器上個別使用者所能存取的任何資料。

一旦攻擊者成功地利用了這項弱點,就可以變更 Web 瀏覽器的快取和中繼 Proxy 伺服器的快取,並且將偽造的內容放入這些快取中。攻擊者也可以利用這項弱點來執行跨網站指令碼攻擊。

跨網站指令碼和偽造弱點 - CAN-2004-0203 的緩和因素:

攻擊者必須能夠登入 Outlook Web Access,才能嘗試利用此弱點。如果您不允許匿名存取 Outlook Web Access,便只有驗證的使用者可以嘗試利用這項弱點。

下列支援的 Outlook Web Access for Exchange 版本將不受影響

Outlook Web Access for Exchange 2000 Server

Outlook Web Access for Exchange Server 2003

跨網站指令碼攻擊的緩和因素

一旦攻擊者成功地利用了跨網站指令碼的弱點,當他使用 Outlook Web Access 時將只能取得與使用者相同的權限。

將偽造的內容放入使用者 Web 瀏覽器快取中的緩和因素

如果用戶端已開啟 Internet Explorer 中的 [不要將加密的網頁存到磁碟] 進階選項,當他們透過 Secure Sockets Layer (SSL) 通訊協定存取 Outlook Web Access 網站時,就不必擔心有人會將偽造的內容放入用戶端的快取中。

將偽造的內容放入中繼 Proxy 伺服器快取中的緩和因素

如果用戶端使用受 SSL 保護的連線來存取 Outlook Web Access,就不必擔心有人利用這項弱點將偽造的內容放入中繼 Proxy 伺服器的快取中。這是因為 SSL 工作階段資料都會經過加密,不能在中繼 Proxy 伺服器上進行快取。

如果偽造的內容被成功地放入中繼 Proxy 伺服器的快取中,攻擊者就很難預測這些偽造的快取內容會對哪些使用者造成影響。

Top of sectionTop of section
跨網站指令碼和偽造弱點 - CAN-2004-0203 替代解決方案:

Microsoft 已經測試過以下的因應措施。這些因應措施並不能徹底解決弱點,但是有助於封鎖已知的攻擊行為。如果因應措施會降低功能,以下將會描述功能降低的情況。

停用各個 Exchange 網站的 Outlook Web Access

您可以依照下列步驟來停用 Outlook Web Access。您必須在各個 Exchange 網站上依照下列步驟進行。

1.

啟動 Exchange 系統管理員。

2.

展開網站的 [組態] 容器

3.

按一下網站的 [通訊協定] 容器。

4.

開啟 [HTTP (網頁) 站台設定] 物件的內容。

5.

按一下以清除 [啟用通訊協定] 核取方塊。

6.

等待變更進行複製,並確認變更已經複製到網站內的各個伺服器上。將網站內各個伺服器繫結至 Exchange 系統管理員,然後檢視其設定,即可進行確認。

因應措施的影響:使用者無法使用 Outlook Web Access 來存取信箱。

移除 Outlook Web Access

如需有關移除 Outlook Web Access 的步驟,請參閱 Microsoft 知識庫文件編號 290287

因應措施的影響:使用者無法使用 Outlook Web Access 來存取信箱。

如需有關協助 Exchange 環境更加安全的其他資訊,請瀏覽 Security Resources for Exchange 5.5 網站

Top of sectionTop of section
跨網站指令碼和偽造弱點 - CAN-2004-0203 的常見問題集:

這個弱點的範圍為何?
這是一個遠端執行程式碼弱點。此弱點可能允許攻擊者以欺騙的方式,讓使用者執行惡意指令碼。如果執行了此惡意指令碼,它將會在使用者的安全性內容中執行。嘗試利用這項弱點需要使用者的互動。此弱點可能允許攻擊者存取 Outlook Web Access 伺服器上個別使用者所能存取的任何資料。

一旦攻擊者成功地利用了這項弱點,就可以執行跨網站指令碼攻擊。攻擊者也可以利用這項弱點來變更 Web 瀏覽器的快取和中繼 Proxy 伺服器的快取,並且將偽造的內容放入這些快取中。

造成這項弱點的原因為何?
Outlook Web Access 將提供給 HTML 重新導向查詢的輸入內容傳送到瀏覽器之前,沒有適當地驗證這個輸入內容。

何謂 Outlook Web Access?
Microsoft Outlook Web Access 是 Exchange Server 的一項服務。使用 Outlook Web Access,使用者便可以透過 Web 瀏覽器存取他們的 Exchange 信箱。利用 Outlook Web Access,執行 Exchange Server 的伺服器也可以擔任網站的功能,讓獲授權的使用者可以讀取或傳送郵件、管理行事曆或是執行網際網路上其他的郵件功能。

攻擊者可能會利用這項弱點採取什麼動作?
一旦攻擊者成功地利用了這項弱點,就可以執行跨網站指令碼攻擊,並且將伺服器的回應重新導向到其他使用者。這項攻擊也可能直接將回應傳送給某位使用者。攻擊者也可以利用這項弱點來變更 Web 瀏覽器的快取和中繼 Proxy 伺服器的快取,並且將偽造的內容放入這些快取中。

攻擊者如何利用這項弱點?
攻擊者可能建立一封特別製作的電子郵件,以嘗試利用這項弱點。將這封特別製作的電子郵件傳送給正在執行 Outlook Web Access for Exchange Server 5.5 伺服器的使用者,攻擊者便可以利用這項弱點。然後再引誘使用者按一下這封電子郵件中的連結即可。

因為這項弱點而承受風險的主要系統有哪些?
因為這項弱點而承受風險的主要系統是執行 Outlook Web Access for Exchange Server 5.5 的系統。

所有的 Outlook Web Access 支援版本都會受到攻擊嗎?
不是。這項弱點只會影響 Outlook Web Access for Exchange Server 5.5。Outlook Web Access for Exchange 2000 Server 及 Outlook Web Access for Exchange Server 2003 將不會受到影響。

我應該在哪個 Exchange 伺服器上安裝更新程式?
此更新程式是專門為執行 Outlook Web Access for Exchange Server 5.5 的伺服器所設計的。未執行 Outlook Web Access for Exchange Server 5.5 的伺服器,不必安裝這個更新程式。

我已經自訂了 Outlook Web Access 網站,該怎麼辦?
客戶如果曾經自訂本安全性通告中「檔案資訊」部份所列出的任何 ASP 網頁,在套用此更新程式之前應該先備份這些檔案,因為在套用更新程式之後將會覆寫這些 ASP 網頁。您必須對新的 ASP 網頁重新進行自訂的作業。如需瞭解 Microsoft 對於自訂 Outlook Web Access 的支援政策,請參閱 Microsoft 知識庫文件編號 327178

更新程式的作用何在?
此更新程式會在 Outlook Web Access 將提供給 HTTP 重新導向查詢的輸入內容傳送到用戶端之前,修改驗證這個輸入內容的方式,藉此消除這項弱點。

當安全性公告發行時,這項弱點是否已被揭發出來?
並沒有。當本安全性公告初次發行時,Microsoft 尚未接獲任何有關此弱點已被發佈出來的消息。

當本安全性公告發行時,Microsoft 是否已接獲任何消息,指出這項弱點已遭有心人士惡用?
沒有。當本安全性公告初次發行時,Microsoft 並未接到任何有關本弱點已成為公開攻擊媒介的消息,也沒有發現任何發行的「概念驗證」程式碼範例。

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

安全性更新資訊

安裝平台及必要條件:

如需有關您使用平台的特定安全性更新的資訊,請按下適當的連結:

Exchange Server 5.5 Service Pack 4

必要條件
這項安全性更新需要 Outlook Web Access for Exchange Server 5.5 SP4

以上所列的軟體版本已經過測試判斷其是否會受到影響。其他版本已不再包含安全性更新支援,或是並不會受到影響。請瀏覽 Microsoft 技術支援週期網站,以瞭解您的產品及版本的支援生命週期。

如需有關取得最新 Service Pack 的進一步資訊,請參閱 Microsoft 知識庫文件編號 260910

安裝資訊

這個安全性更新支援以下的安裝參數:

      /x 產生封裝檔案的清單。

      /s執行無訊息安裝。

      /z 與 /x 參數相同,不過 /z 參數會自動重新啟動電腦。

/m 為您提示資料夾的位置。

注意:如果想進一步瞭解套用此更新程式時所能使用的指令選項,請按一下下面的文件編號,檢視 Microsoft 知識庫中的文件:

257946 XGEN:GUI Hotfix Utility Switches /x /m /s /z

部署資訊

安全性更新套件 Exchange5.5-KB842436-x86-<ServerLanguage>.exe 包含三個不同的安全性更新程式:

Exchange5.5-KB842436a-x86-<ServerLanguage>.exe

Exchange5.5-KB842436b-x86-<ServerLanguage>.exe

Exchange5.5-KB842436c-x86-<ServerLanguage>.exe

注意:在下面的程序中,我們會將這些更新程式分別稱為更新程式 A、更新程式 B 和更新程式 C。

由於受影響的檔案數目非常多,為了降低安裝指令碼的複雜性,已將此安全性更新程式分成三個不同的部份。

如果執行主要的安全性更新套件,會將更新程式 A、更新程式 B 和更新程式 C 複製到您所指定的位置。如果分別執行各個更新程式,則會將更新程式安裝到伺服器上。

更新程式 A 是一定要安裝的,至於更新程式 B 和更新程式 C,則是只有當伺服器使用到其中所包含的一種或多種用戶端語言時,才需要安裝這兩個更新程式。

如果要安裝安全性更新程式:

1.

不論執行 Outlook Web Access 的伺服器上安裝何種語言,都必須安裝此更新程式 (Exchange5.5-KB842436a-x86-<ServerLanguage>.exe)。

更新程式 A 將會更新下列項目:

CDO.dll、CDOHTML.dll、HTMLSNIF.dll 和 SAFEHTML.dll。

您必須安裝與執行 Microsoft Exchange Server 的伺服器上所指定語言相符的 Outlook Web Access 語言。

下列是可供安裝的 Outlook Web Access 語言:

簡體中文

繁體中文

英文

法文

德文

義大利文

日文

西班牙文

2.

更新程式 A 安裝完成之後,請安裝更新程式 B 或更新程式 C (或兩者都安裝)。如果電腦上有安裝下列任何一種 Outlook Web Access 語言,就必須安裝更新程式 B:

巴西葡萄牙文

波蘭文

俄文

希臘文

葡萄牙文

瑞典文

韓文

3.

如果電腦上有安裝下列任何一種 Outlook Web Access 語言,就必須安裝更新程式 C:

匈牙利文

挪威文

捷克文

土耳其文

芬蘭文

丹麥文

荷蘭文

注意:即使您只使用更新程式 B 或更新程式 C 中所包含的語言,也必須安裝更新程式 A。因為必須安裝更新程式 A 之後,才能安裝更新程式 B 和更新程式 C,而且這些更新程式才能正常運作。除非您已經先安裝了更新程式 A,否則無法安裝更新程式 B 或更新程式 C。

注意:如果您已經安裝了更新程式 B 或更新程式 C (或兩者都安裝了),即使您並未使用更新程式 A 中的語言,也不能移除更新程式 A,否則更新程式 B 和更新程式 C 可能會無法正常運作。

注意:只有已經安裝在伺服器上的語言套件才會進行更新。如果您在伺服器上安裝了更新程式 B 或更新程式 C,但是沒有安裝適當的語言,將不會造成任何影響。

如果想進一步瞭解如何透過「軟體更新服務」來部署這個安全性更新,請瀏覽軟體更新服務網站

注意:如果在執行 Outlook Web Access 的伺服器上將 Windows 目錄的權限設定成唯讀的話,安裝更新程式之後,當您在 Outlook Web Access 中開啟訊息時,訊息的內容可能會顯示一片空白。如需有關這個問題的詳細資訊,請參閱知識庫文件編號 314532

重新開機需求

此更新程式不需要重新開機。但是,更新程式將會重新啟動 Microsoft Internet Information Services (IIS)、Exchange Store 和 Exchange System Attendant Services。因此,請在沒有使用者透過 Outlook Web Access 登入時進行安裝。

移除資訊

若要移除這項安全性更新,請在命令提示字元使用下列命令:

%EXCHSRVR%\842346a\UNINSTALL\UNINST.EXE

%EXCHSRVR%\842346b\UNINSTALL\UNINST.EXE

%EXCHSRVR%\842346c\UNINSTALL\UNINST.EXE

您也可以使用 [控制台] 中的 [新增或移除程式] 來移除此更新程式。更新程式會列出如下:

Security Update for Exchange Server 5.5 (KB842436a)

Security Update for Exchange Server 5.5 (KB842436b)

Security Update for Exchange Server 5.5 (KB842436c)

注意:如果您要移除更新程式,必須先移除更新程式 B 和更新程式 C,然後才能移除更新程式 A。

檔案資訊

本更新程式的英文版本具有下表列出的檔案屬性 (或以後版本)。這些檔案的日期及時間均使用 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,它會轉換為當地時間。如想知道 UTC 及當地時間的時差,請使用 [控制台] 內的 [日期/時間] 工具的 [時區] 標籤。

注意:日期、時間和檔案名稱等資訊可能會在安裝時有所變更。請參閱<確認更新的安裝>部份以瞭解確認安裝項目的詳細資訊。

Exchange Server 5.5 Service Pack 4:

Date         Time   Version           Size    File name 
------------------------------------------------------ 
18-May-2004  16:29                    12,928  amunres.asp 
18-May-2004  16:29                     1,835  appts.asp 
15-Jan-2004  17:49                     5,761  attach.inc 
18-May-2004  16:29                     5,465  cmpatt.asp 
18-May-2004  16:30                     7,390  cmpmsg.asp 
18-May-2004  16:29                     3,133  cmpOpt.asp 
18-May-2004  16:29                     7,091  cmpTitle.asp 
19-May-2004  20:01  5.5.2658.1080      2,576  cdo.dll 
19-May-2004  20:01  5.5.2658.1080      2,576  cdo.dll 
18-May-2004  16:30  5.5.2658.1053      7,360  cdohtml.dll 
18-May-2004  16:30  5.5.2658.1053      7,360  cdohtml.dll 
18-May-2004  16:29                    11,862  commands.asp 
18-May-2004  16:29                    11,292  commands.asp 
18-May-2004  16:29                    22,722  commands.asp 
18-May-2004  16:28                    19,184  commands.asp 
18-May-2004  16:28                    18,172  commands.asp 
18-May-2004  16:28                    37,173  commands.asp 
18-May-2004  16:28                    21,240  commands.asp 
18-May-2004  16:30                     8,294  commands.asp 
18-May-2004  16:30                    13,271  contdet.asp 
18-May-2004  16:30                       796  delete.asp 
18-May-2004  16:29                     2,119  detcmds.asp 
17-May-2004  17:29                     1,655  encode.inc 
18-May-2004  16:28                     2,424  events.asp 
18-May-2004  16:30                     7,952  frmroot.asp 
18-May-2004  16:29                     1,854  frmroot.asp 
18-May-2004  16:29                     8,501  frmroot.asp 
08-Jul-2004  22:35                     7,961  frmroot.asp 
18-May-2004  16:29                     9,974  frmroot.asp 
18-May-2004  16:28                     9,705  frmroot.asp 
18-May-2004  16:30                     9,643  frmroot.asp 
18-May-2004  16:30                     7,951  frmroot.asp 
18-May-2004  16:28                     8,892  frmroot.asp 
18-May-2004  16:28                    30,942  frmRoot.asp 
18-May-2004  16:30                    11,544  frmroot.asp 
18-May-2004  16:29                     4,336  fumsg.asp 
15-Nov-2002  18:41  6.5.6582.0        57,344  htmlsnif.dll 
15-Nov-2002  18:41  6.5.6582.0        57,344  htmlsnif.dll 
18-May-2004  16:30                     2,645  item.asp 
19-Oct-2000  07:00                     3,686  jsroot.inc 
18-May-2004  16:28                     6,815  logon.asp 
18-May-2004  16:29                     2,963  logonfrm.asp 
18-May-2004  16:28                     5,783  main_fr.asp 
18-May-2004  16:28                    10,269  main_fr.asp 
18-May-2004  16:29                    11,166  main_fr.asp 
18-May-2004  16:28                     2,433  messages.asp 
18-May-2004  16:28                     2,542  messages.asp 
19-Jul-2003  20:02                     5,118  global.asa 
18-May-2004  16:28                    21,055  mrappt.asp 
30-Jun-2004  21:47                     5,934  mratt.asp 
18-May-2004  16:28                     2,931  mropt.asp 
18-May-2004  16:28                    12,675  mrplaner.asp 
18-May-2004  16:28                    14,620  mrread.asp 
18-May-2004  16:30                    26,555  mrrecur.asp 
18-May-2004  16:29                    10,735  mrtitle.asp 
18-May-2004  16:28                     3,458  openitem.asp 
08-Jul-2004  22:30                    12,233  pageutil.inc 
18-May-2004  16:29                     3,444  peerfldr.asp 
18-May-2004  16:29                     3,450  peerfldr.asp 
18-May-2004  16:28                     8,999  pick.asp 
18-May-2004  16:29                     3,174  pickform.asp 
18-May-2004  16:30                     5,534  postatt.asp 
18-May-2004  16:29                     5,452  postatt.asp 
18-May-2004  16:29                    11,230  postmsg.asp 
18-May-2004  16:28                     6,419  postmsg.asp 
18-May-2004  16:30                     5,189  postroot.asp 
18-May-2004  16:30                     6,485  postroot.asp 
18-May-2004  16:29                     7,896  posttitl.asp 
18-May-2004  16:28                     5,238  posttitl.asp 
18-May-2004  16:28                     9,770  read.asp 
18-May-2004  16:29                    10,641  read.asp 
18-May-2004  16:29                     9,899  read.asp 
18-May-2004  16:29                    14,601  read.asp 
18-May-2004  16:30                     2,575  read.asp 
18-May-2004  16:28                     6,835  root.asp 
18-May-2004  16:29                     8,185  root.asp 
18-May-2004  16:28                     5,468  rspatt.asp 
18-May-2004  16:29                     8,753  rspmsg.asp 
18-May-2004  16:29                     3,184  rspopt.asp 
18-May-2004  16:28                     7,776  rsptitle.asp 
15-Nov-2002  18:41  6.5.6582.0       225,280  safehtml.dll 
15-Nov-2002  18:41  6.5.6582.0       225,280  safehtml.dll 
18-May-2004  16:28                     8,505  title.asp 
18-May-2004  16:28                     4,242  title.asp 
18-May-2004  16:29                     7,958  title.asp

確認更新的安裝

Microsoft Baseline Security Analyzer

如果要確認安全性更新已經安裝到受影響的系統,您可以使用 Microsoft Baseline Security Analyzer (MBSA) 工具。這項工具讓系統管理員能夠掃描本機和遠端系統,找出遺漏的安全性更新,以及常見的錯誤安全性設定。如需有關 MBSA 的詳細資訊,請瀏覽 Microsoft Baseline Security Analyzer 網站

登錄機碼驗證

您也可以查看下列登錄機碼,來確認此安全性更新程式所安裝的檔案:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 5.5\SP5\842436a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 5.5\SP5\842436b
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 5.5\SP5\842436c

注意:如果系統管理員或 OEM 將 842436 安全性更新整合 (或 slipstream) 到 Windows 安裝來源檔時,這些登錄機碼可能無法正確建立。

Top of sectionTop of section
Top of sectionTop of section

感謝:

Microsoft 感謝下列人士協助我們一同保護我們的客戶:

Sanctum Inc 的 Amit Klein 將「跨網站指令碼和偽造弱點 (CAN-2004-0203)」傳達給我們。

取得其他安全性更新:

其他安全性議題的更新可由下列地點取得:

安全性更新可以從 Microsoft 下載中心取得:您也可以利用 "security_patch" 關鍵字搜尋輕易地找到安全性更新。

使用者平台的更新程式可以從 Windows Update 網站取得。

支援:

美國及加拿大地區客戶可電洽 1-866-PCSAFETY 以取得 Microsoft 技術支援。與安全性更新有關的支援電話不另外收費。

不同國家的客戶,可以從當地的 Microsoft 分公司取得支援。與安全性更新有關的支援電話不另外收費。如需如何連絡 Microsoft 技術支援的詳細資訊,可以從世界各地技術支援網站取得。

安全性資源:

Microsoft TechNet 安全性網站提供了有關 Microsoft 產品安全性的其他資訊。

Microsoft 軟體更新服務

Microsoft Baseline Security Analyzer(MBSA)

Windows Update

Windows Update 目錄:如需有關 Windows Update 目錄的詳細資訊,請參閱 Microsoft 知識庫文件編號 323166

Office Update

軟體更新服務:

Microsoft Software Update Services (SUS) 能讓系統管理員以迅速可靠的方式,針對 Windows 2000 和 Windows Server 2003 伺服器以及執行 Windows 2000 Professional 或 Windows XP Professional 的桌面系統,部署最新的重要更新程式及安全性更新程式。

如需如何透過「軟體更新服務」部署這個安全性更新的詳細資訊,請瀏覽軟體更新服務網站

Systems Management Server:

Microsoft Systems Management Server (SMS) 提供了深具彈性的設定組態企業級因應措施,能夠對更新程式進行方便的管理。透過使用 SMS,系統管理員能判斷企業中有哪些 Windows 系統需要安裝安全性更新,並控制更新程式在企業中部署的流程,同時也將對使用者造成的干擾降到最低。如需系統管理員能如何利用 SMS 2003 部署安全性更新的詳細資訊,請瀏覽 SMS 2003 安全性補充程式管理網站。SMS 2.0 使用者也可以利用 Software Updates Service Feature Pack 來協助部署安全性更新。如需關於 SMS 的詳細資訊,請瀏覽 SMS 網站

注意:SMS 使用 Microsoft Baseline Security Analyzer 及 Microsoft Office Detection Tool,為安全性公告的更新偵測及部署作業提供相當廣泛的支援。不過這些工具可能無法偵測部份的安全性更新。在這些情況中,系統管理員可以利用 SMS 的編制清查能力,判斷特定系統所需要的更新程式。如需這個程序的詳細資訊,請瀏覽這個網站。某些安全性更新程式在電腦重新啟動之後,會需要用到系統管理員的權限。系統管理員可以用 Elevated Rights Deployment Tool (隨 SMS 2003 Administration Feature PackSMS 2.0 Administration Feature Pack 提供) 來安裝這些更新。

免責聲明:

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係按「現狀」提供,並不提供任何保證。Microsoft 不做任何明示或暗示的責任擔保,包括適售性以及適合特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發意外、推衍引發、業務利潤損失或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區並不允許排除及限制推衍後果或意外損害責任,因此前述限制不適用於這些地區。

修訂:

V1.0 (2004 年 8 月 10 日):公告發行


回到頁首回到頁首