Microsoft 安全性公告 MS05-022
MSN Messenger 中的弱點可能會允許遠端執行程式碼 (896597)
發佈日期:2005 年 4 月 13 日
版本:1.0
摘要
應該閱讀此文件的對象:使用 MSN Messenger 的客戶
此弱點的影響:遠端執行程式碼
最高的嚴重性等級:重大
建議:客戶應立即套用此更新程式。
安全性更新取代資訊:本公告取代了一個先前發行的安全性更新。請參閱本公告的<常見問題集>(FAQ) 以取得完整清單。
警告:無
已測試軟體及安全性更新程式下載位置:
受影響的軟體:
不受影響的軟體:
本清單所列出之軟體版本已經過測試以判斷是否受到影響。其他版本已不再提供安全性更新支援,或是並不會受到影響。請造訪 Microsoft 產品技術支援週期準則網站,以瞭解您的產品及版本的支援生命週期。
提要:
這個更新程式能解決一項新發現且未公開報告的弱點。本公告的<弱點詳細資訊>部分會提供這項弱點的相關資訊。
成功利用此弱點的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。
嚴重性等級和弱點識別碼:
弱點識別碼 | 弱點的影響 | MSN Messenger 6.2 版 |
MSN Messenger 弱點 - CAN-2005-0562 | 遠端執行程式碼
| 重大
|
所有弱點的彙總嚴重性 | | 重大
|
此項評估的根據包括:受弱點影響的系統類型、系統的一般部署模式,以及弱點遭利用後對系統所造成的影響。
這次發行的更新程式取代了哪些更新?
本安全性更新取代一個先前發行的安全性更新。下表列出安全性公告編號和受影響的作業系統:
公告編號 | MSN Messenger 6.2 版 |
MS05-009 | 取代
|
是否可以使用 Microsoft Baseline Security Analyzer (MBSA) 來判斷是否需要此更新?
否。MBSA 不支援 MSN Messenger,無法偵測受影響的軟體是否需要更新程式。但是,Microsoft 已經開發出企業更新掃描工具 (EST) 版本,能協助客戶判斷是否需要 MSN Messenger 安全性更新。
如需瞭解 MBSA 目前無法偵測的程式,請參閱 Microsoft 知識庫文件編號 306460。如需有關 MBSA 的詳細資訊,請造訪 MBSA 網站。
什麼是企業更新掃描工具 (EST)?
對於公告等級安全性更新程式,我們會持續提供偵測工具,在 Microsoft Baseline Security Analyzer (MBSA) 以及 Office Detection Tool (ODT) 無法偵測 MSRC 發行週期是否需要更新程式時,Microsoft 將提供獨立的偵測工具。這個獨立的工具稱為企業更新掃描工具 (EST),專為企業管理員而設計。為特定公告而建立企業更新掃描工具的版本時,客戶能從命令列介面 (CLI) 執行工具,並檢視 XML 輸出檔案的結果。爲了協助客戶充分利用工具,將隨工具提供詳細的說明文件。此外也會有其他工具版本能帶給 SMS 系統管理員整合式的體驗。
是否可以使用企業更新掃描工具 (EST) 的版本來判斷是否需要此更新程式?
是。Microsoft 已建立新版 EST,可判斷您是否需要套用此更新。如需本月發行的 EST 版本的詳細資訊,請瀏覽下列 Microsoft 網站。如需本月發行的 EST 版本的詳細部署資訊,請瀏覽下列 Microsoft 網站。
SMS 客戶也可以從 Microsoft 網站取得此工具版本, 或是從 SMS 網站取得這個工具。
是否可以使用 Systems Management Server (SMS) 來判斷是否需要此更新?
否。SMS 使用 MBSA 進行偵測,而 MBSA 無法測得此更新。如需關於 SMS 的詳細資訊,請造訪 SMS 網站。
不過,SMS 客戶也可以從下列 Microsoft 網站取得 EST 版本,帶給 SMS 系統管理員整合式的體驗。
若要偵測 Microsoft Windows 及其他受影響的 Microsoft 產品,需要使用安全性更新盤點工具 (Security Update Inventory Tool)。如需更多有關安全性更新盤點工具限制的資訊,請參閱 Microsoft 知識庫文件編號 306460。
如需有關 SMS 的詳細資訊,請造訪 SMS 網站。
您可以使用 SMS 的目錄與軟體發佈功能以部署此更新。
| MSN Messenger 弱點 - CAN-2005-0562: |
MSN Messenger 中存在的遠端執行程式碼弱點,可以讓成功利用此弱點的攻擊者取得受影響系統的完整控制權。
| MSN Messenger 弱點 - CAN-2005-0562 的緩和因素: |
MSN Messenger 依照預設不允許匿名人士傳送訊息給您。攻擊者必須先引誘您將他們加入您的連絡人清單。
| MSN Messenger 弱點 - CAN-2005-0562 的因應措施: |
Microsoft 已經測試過以下的因應措施。這些因應措施並不能徹底解決弱點,但是有助於封鎖已知的攻擊行為。如果因應措施會降低功能,以下小節將會描述功能降低的情況。
| • | 重新檢查現有連絡人清單,移除不認識、不信任或不再需要的連絡人。 |
| • | 不要同意接收不認識或不信任的連絡人發起的檔案傳輸。 |
| • | 在企業環境中封鎖對於 MSN Messenger 以及 Web Messenger 的存取。 |
| • | 在企業環境中封鎖對於連出連接埠 1863 的存取。注意:建立直接連線時,MSN Messenger Service 是透過連接埠 1863 來連接。無法建立直接連線時,MSN Messenger Service 是透過連接埠 80 來連接。 |
| • | 封鎖對於 gateway.messenger.hotmail.com 的 HTTP 存取。如果您要封鎖對於 MSN Web Messenger 的存取,則也要封鎖對於 webmessenger.msn.com 的 HTTP 存取。 因應措施的影響:MSN Messenger 的客戶將無法連接到 MSN Messenger 網路 |
| MSN Messenger 弱點 - CAN-2005-0562 的常見問題集: |
此弱點是否影響 MSN Messenger 7.0 Beta?
是。這項弱點是在 MSN Messenger 7.0 Beta 發行之後回報。我們建議使用 MSN Messenger 7.0 Beta 版的客戶升級到沒有這項弱點的已發行軟體版本。
這個弱點的範圍為何?
這是遠端執行程式碼的弱點。成功利用此弱點的攻擊者可以取得受影響系統的完整控制權。
造成這個弱點的原因為何?
MSN Messenger 能提供及檢視 GIF 影像格式的檔案。MSN Messenger 可能無法正確處理高度及寬度不當的 GIF 格式錯誤影像。
什麼是 GIF?
GIF 是 Graphic Interchange Format 的縮寫。它是較舊的 256 調色盤,與 8 位元顯示卡更為相容。後來被 PNG 及 TIF 圖形格式大量取代。
攻擊者可能會利用這項弱點採取什麼行動?
成功利用此弱點的攻擊者可以取得受影響系統的完整控制權。
什麼人可以利用此弱點?
攻擊者可說服使用者將其新增至連絡人清單,並傳送蓄意製作的表情符號或顯示圖片,以利用這項弱點。
因為這個弱點而承受風險的主要系統有哪些?
工作站和終端機伺服器的風險最高。如果系統管理憑證不足的使用者被授予登入伺服器並執行程式的能力時,伺服器會面臨更大的風險。然而,最佳實務強烈建議您制止這種行為。
這項弱點是否會對 Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 帶來重大的影響?
是。使用受影響 MSN Messenger 版本的客戶可安裝新版的 MSN Messenger 更新程式。
更新的作用何在?
更新程式會修改 MSN Messenger 在處理 GIF 檔案之前加以驗證的方式,因而消除此項弱點。
當安全性公告發行時,這項弱點是否已揭發出來?
否。Microsoft 是經由可靠的來源接獲有關這項弱點的訊息。
此弱點與 MS05-009 所修正的 PNG 處理弱點有何關係?
這兩種弱點都會影響圖形格式。但是,此更新程式解決了 MS05-009 中未述及、屬於圖形格式不同類型的新弱點。MS05-009 有助於防範其中討論的弱點,但不能解決這個新發現的弱點。本更新程式會取代 MSN Messenger 的 MS05-009。
受影響的軟體:
如需有關您使用系統的特定安全性更新資訊,請按下適當的連結:
必要條件
這個安全性更新程式需要 MSN Messenger 6.2 版。
重新開機需求
此更新程式可能需要重新啟動電腦。
移除資訊
此更新程式無法解除安裝。
確認更新的安裝
若要確認受影響系統上是否安裝安全性更新程式,請執行下列步驟:
1. 在 MSN Messenger 中,依序按一下 [說明] 和 [關於]。
2. 查看版本號碼。
如果版本號碼是 6.2.208 或更新版本,表示已順利安裝更新程式。
感謝
Microsoft 感謝下列人士協助我們一同保護我們的客戶:
| • | hongzhenzhou 回報 MSN Messenger 弱點 (CAN-2005-0562)。 |
取得其他安全性更新:
其他安全性問題的更新可由下列位置取得:
支援:
美國 及加拿大地區客戶可電洽 1-866-PCSAFETY Microsoft 技術支援服務以取得技術支援。與安全性更新有關的支援電話不另外收費。
不同國家的客戶,可以從當地的 Microsoft 分公司取得支援。與安全性更新有關的支援電話不另外收費。如需更多關於連絡 Microsoft 技術支援的資訊,請造訪世界各地技術支援網站。
安全性資源:
Microsoft TechNet 資訊安全網站提供了有關 Microsoft 產品安全性的其他資訊。
Microsoft Software Update Services
Microsoft Baseline Security Analyzer (MBSA)
Windows Update
Windows Update 目錄:如需更多關於 Windows Update 目錄的資訊,請參閱 Microsoft 知識庫文件編號 323166。
Office Update
Software Update Services:
Microsoft Software Update Services (SUS) 能讓系統管理員以迅速可靠的方式,針對 Windows 2000 和 Windows Server 2003 伺服器以及執行 Windows 2000 Professional 或 Windows XP Professional 的桌面系統,部署最新的重要更新程式及安全性更新程式。
若想瞭解如何透過 Software Update Services 部署這個安全性更新,請造訪 Software Update Services 網站。
Systems Management Server:
Microsoft Systems Management Server (SMS) 提供了深具彈性的企業解決方案,能夠對更新程式進行方便的管理。利用 SMS,系統管理員能判斷有哪些 Windows 系統需要安全性更新,並控制更新程式在企業中的部署,同時將對使用者造成的干擾降到最低。如需更多關於系統管理員如何使用 SMS 2003 部署安全性更新的資訊,請造訪 SMS 2003 的安全性補充程式管理網站。SMS 2.0 使用者也可以利用 SMS 軟體更新服務功能套件來協助部署安全性更新。如需關於 SMS 的詳細資訊,請造訪 SMS 網站。
注意:SMS 使用 Microsoft Baseline Security Analyze、Microsoft Office Detection Tool 以及企業更新掃描工具,為安全性公告的更新偵測及部署作業提供相當廣泛的支援。不過這些工具可能無法偵測部分的軟體更新。在這些情況中,系統管理員可以利用 SMS 的清查功能,判斷特定系統所需要的更新程式。如需這個程序的詳細資訊,請造訪這個網站。某些安全性更新程式在電腦重新啟動之後,會需要系統管理員的權限。系統管理員可以用 Elevated Rights Deployment Tool (隨 SMS 2003 Administration Feature Pack (英文) 和 SMS 管理功能套件 (英文) 提供) 來安裝這些更新。
免責聲明:
Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。
修訂:
V1.0 (2005 年 4 月 12 日):公告發行
