TechNet 首頁 > TechNet 資訊安全 > 資訊安全公告

2004 年 7 月份 Microsoft 安全性公告摘要

發佈日期: 2004 年 7 月 14 日
版本: 1.0

請參考此處所提供的使用者版本資訊。

保護您的電腦:Microsoft 在下列網址提供有助於保護電腦的相關資訊:

一般使用者可以瀏覽保護您的 PC 網站。

IT 專業人員可以瀏覽 IT Pro TechNet 安全性資訊網站。

更新程式管理策略:Microsoft 安全性補充程式管理指南網站提供您有關套用安全性更新的 Microsoft 最佳實作建議。

IT Pro Security Zone Community:IT Pro Security Zone 網站上,學習如何提升安全性以及改善您的 IT 基礎結構,與其他的 IT 專業人員共同參與各類安全性議題的討論。

Microsoft 安全性通知服務:如想在 Microsoft 安全性公告發佈時收到電子郵件通知,請訂閱 Microsoft 安全性通知服務

摘要

本次摘要報告內含最近發現弱點的更新資訊。依照嚴重性的等級,這些弱點分類如下:

重大 (2)

公告編號Microsoft 安全性公告 MS04-022

公告標題

工作排程器的弱點可能會導致程式碼執行 (841873)

提要

由於「工作排程器」處理應用程式名稱驗證的方式,使得其中含有遠端執行程式碼的弱點。

最高的嚴重性等級

重大

弱點的影響

遠端執行程式碼

受影響的軟體

Windows。如需更多資訊,請參閱安全性公告摘要的<受影響軟體及下載位置>部份。

公告編號Microsoft 安全性公告 MS04-023

公告標題

HTML Help 說明檔的弱點可能會導致程式碼執行 (840315)

提要

在處理蓄意製作的 showHelp URL 時,存在一項遠端執行程式碼的弱點。

最高的嚴重性等級

重大

弱點的影響

遠端執行程式碼

受影響的軟體

Windows。如需更多資訊,請參閱安全性公告摘要的<受影響軟體及下載位置>部份。

Top of sectionTop of section

重要 (4)

公告編號Microsoft 安全性公告 MS04-019

公告標題

公用程式管理員中的弱點可能允許程式碼執行 (842526)

提要

「公用程式管理員」啟動應用程式的方式中,含有權限提升的弱點。登入的使用者可能強制「公用程式管理員」運用系統權限啟動應用程式。

最高的嚴重性等級

重要

弱點的影響

本機權限提高

受影響的軟體

Windows。如需更多資訊,請參閱安全性公告摘要的<受影響軟體及下載位置>部份。

公告編號Microsoft 安全性公告 MS04-020

公告標題

POSIX 中的弱點可能允許程式碼執行 (841872)

提要

POSIX 子系統中含有權限提升的弱點,可能允許登入的使用者完全控制系統。

最高的嚴重性等級

重要

弱點的影響

本機權限提高

受影響的軟體

Windows。如需更多資訊,請參閱安全性公告摘要的<受影響軟體及下載位置>部份。

公告編號Microsoft 安全性公告 MS04-021

公告標題

IIS 4.0 安全性更新 (841373)

提要

Internet Information Server 4.0 中含有一項緩衝區滿溢弱點。

最高的嚴重性等級

重要

弱點的影響

遠端執行程式碼

受影響的軟體

Windows。如需更多資訊,請參閱安全性公告摘要的<受影響軟體及下載位置>部份。

公告編號Microsoft 安全性公告 MS04-024

公告標題

Windows Shell 的弱點可能會導致程式碼執行 (839645)

提要

Windows Shell 啟動應用程式的方式中含有一項遠端執行程式碼的弱點。要利用此項弱點發動攻擊,必須要有使用者的互動才能奏效。

最高的嚴重性等級

重要

弱點的影響

遠端執行程式碼

受影響的軟體

Windows。如需更多資訊,請參閱安全性公告摘要的<受影響軟體及下載位置>部份。

Top of sectionTop of section

中度 (1)

公告編號Microsoft 安全性公告 MS04-018

公告標題

Outlook Express 累積的安全性更新 (823353)

提要

一項拒絕服務弱點可能允許攻擊者傳送蓄意製作的電子郵件訊息,以造成 Outlook Express 錯誤。

最高的嚴重性等級

中度

弱點的影響

拒絕服務

受影響的軟體

Windows、Outlook Express。如需更多資訊,請參閱安全性公告摘要的<受影響軟體及下載位置>部份。

Top of sectionTop of section

受影響軟體及下載位置

我該如何使用這個表格?

您可以用這個表格來瞭解可能需要安裝的安全性更新有哪些。您應該查看此處列出的每一種軟體程式或元件,看看是否有需要的安全性更新。在列出的軟體程式或元件旁邊,會附註弱點的影響層級,同時也會列出可用軟體更新的超連結。

在表格中如出現 [x] 標記 (x 為一個數字),表示會有一段說明狀況的相關說明。說明文字位於表格的下方。

注意 一項弱點,可能需要安裝數個安全性更新才能妥善解決。請參閱各公告的相關欄位以確認您必須安裝的更新。安裝的項目視您系統上所安裝的程式或元件而定。

受影響軟體及下載位置

 詳細資訊詳細資訊詳細資訊詳細資訊詳細資訊詳細資訊詳細資訊

公告編號

MS04-018

MS04-019

MS04-020

MS04-021

MS04-022

MS04-023

MS04-024

最高的嚴重性等級

中度

重要

重要

重要

重大

重大

重要

 

受影響的 Windows 軟體:

 

 

 

 

 

 

 

Windows Server™2003

[3]

 

 

 

 

重大

重要

Windows Server 2003 64-Bit Edition

[3]

 

 

 

 

重大

重要

Windows XP

[3]

 

 

 

重大

重大

重要

Windows XP Service Pack 1

[3]

 

 

 

重大

重大

重要

Windows XP 64-Bit Edition Service Pack 1

[3]

 

 

 

重大

重大

重要

Windows XP 64-Bit Edition Version 2003

[3]

 

 

 

 

重大

重要

Windows 2000 Service Pack 2

[3]

重要

重要

 

重大

重大

重要

Windows 2000 Service Pack 3

[3]

重要

重要

 

重大

重大

重要

Windows 2000 Service Pack 4

[3]

重要

重要

 

重大

重大

重要

Windows NT® Workstation 4.0 Service Pack 6a

[3]

 

重要

重要

[1]

重大

重要

Windows NT Server 4.0 Service Pack 6a

[3]

 

重要

重要

[1]

重大

重要

Windows NT Workstation 4.0 Service Pack 6a 及使用 Active Desktop 的 Windows NT Server 4.0 Service Pack 6a

[3]

 

 

 

 

 

重要 [5]

Windows NT Server 4.0 Terminal Server Edition Service Pack 6

[3]

 

重要

 

[1]

重大

重要

Windows Millennium Edition (Me)

[2]

 

 

 

 

重大

[2]

Windows 98 Second Edition (SE)

[2]

 

 

 

 

重大

[2]

Windows 98

[2]

 

 

 

 

重大

[2]

 

 

 

 

 

 

 

 

受影響的 Windows 作業系統元件:

 

 

 

 

 

 

 

Outlook Express 5.5 Service Pack 2

[4]

 

 

 

 

 

 

Outlook Express 6

中度

 

 

 

 

 

 

Outlook Express 6 Service Pack 1

[4]

 

 

 

 

 

 

Outlook Express 6 Service Pack 1 (64 位元版)

[4]

 

 

 

 

 

 

適用於 Windows Server 2003 的 Outlook Express 6

[4]

 

 

 

 

 

 

適用於 Windows Server 2003 (64 位元版) 的 Microsoft Outlook Express 6

[4]

 

 

 

 

 

 

Internet Explorer 6 Service Pack 1

 

 

 

 

重要

 

 

注意

[1] 依預設值,此作業系統不會受到此問題的影響,不過如果安裝了其他的軟體程式或元件,就可能會受到影響。特別是如果 Windows NT4 已安裝 Internet Explorer 6 Service Pack 1,也將受此弱點影響。請參閱相關的安全性公告以獲得更多詳細資訊。

[2] 此作業系統會受到此問題的影響,不過並不會帶來重大的影響。通常並不會為此作業系統提供非重大議題的安全性更新。如想瞭解這些作業系統的 Microsoft 技術支援週期準則,請瀏覽這個網站。請參閱相關的安全性公告以獲得更多詳細資訊。

[3] 已經針對此作業系統提供了安全性更新程式。請參閱表格中受影響的元件、Microsoft Outlook Express 以及相關的安全性公告以獲得更多詳細資訊。

[4] 本公告所附的安全性更新程式並未針對此版本 Outlook Express 的任何弱點進行處理;然而,此更新程式將 Outlook Express 5.5 Service Pack 2 的預設安全性設定值變更為更嚴格,並處理了在 MS04-013 公告當中所提出, Outlook Express 6 SP1 及其更新版本會在可預測的位置,建立檔名具有 ~ 字元的 Windows 通訊錄副本之問題。

[5] 請參閱安全性公告上判斷是否已安裝 Active Desktop 的步驟。

Top of sectionTop of section

部署

軟體更新服務:

Microsoft Software Update Services (SUS) 能讓系統管理員以迅速可靠的方式,針對 Windows 2000 和 Windows Server 2003 伺服器以及執行 Windows 2000 Professional 或 Windows XP Professional 的桌面系統部署最新的重要更新程式及安全性更新程式。

如想進一步瞭解如何透過「軟體更新服務」部署這個安全性更新,請瀏覽軟體更新服務網站。

Systems Management Server:

Microsoft Systems Management Server (SMS) 提供了深具彈性的設定組態企業級因應措施,能夠對更新程式進行方便的管理。透過使用 SMS,系統管理員能判斷企業中有哪些 Windows 系統需要安裝安全性更新,並控制更新程式在企業中部署的流程,同時也將對使用者造成的干擾降到最低。如想進一步瞭解系統管理員能如何利用 SMS 2003 部署安全性更新,請瀏覽 SMS 2003 安全性補充程式管理網站 (英文)。SMS 2.0 使用者也可以利用 Software Updates Service Feature Pack 來協助部署安全性更新。如需關於 SMS 的詳細資訊,請瀏覽 SMS 網站

注意 SMS 使用 Microsoft Baseline Security Analyzer 及 Microsoft Office Detection Tool,為安全性公告的更新偵測及部署作業提供相當廣泛的支援。不過這些工具可能無法偵測部份的安全性更新。在這些情況中,系統管理員可以利用 SMS 的編制清查能力,判斷特定系統所需要的更新程式。如需這個程序的詳細資訊,請瀏覽這個網站。某些安全性更新程式在電腦重新啟動之後,會需要用到系統管理員的權限。系統管理員可以用 Elevated Rights Deployment Tool (隨 SMS 2003 Administration Feature PackSMS 2.0 Administration Feature Pack 提供) 來安裝這些更新。

QChain.exe 和 Update.exe:

Microsoft 已經發行了一個名為 QChain.exe 的命令行工具,能讓系統管理員以安全可靠的方式將安全性更新串連在一起。所謂串連,是指當您安裝數個更新程式時,不需要在每個更新程式安裝之後重新開機。本摘要文件所描述的更新所使用的 Update.exe 工具中,已內建有串連的功能。客戶如果使用的是 Windows 2000 Service Pack 2 或更新版本、Windows XP 或 Windows Server 2003,就不需要利用 Qchain.exe 來串連這些更新程式。Qchain.exe 仍然支援這些 Windows 更新程式,因此管理員可以建立一致的部署指令碼,以便跨所有的平台使用。如需有關 Qchain 的進一步資訊,請參閱此網站

Microsoft Baseline Security Analyzer:

Microsoft Baseline Security Analyzer (MBSA) 能讓系統管理員掃描本地和遠端系統,偵查任何缺少安全性更新以及一般安全性設定錯誤的狀況。如需更多有關 MBSA 的資訊,請瀏覽 Microsoft Baseline Security Analyzer 網站

Top of sectionTop of section
Top of sectionTop of section

其他資訊:

感謝:

Microsoft 感謝下列人士協助我們一同保護我們的客戶:

Application Security Inc. 的 Cesar Cerrudo 回報的問題,在 MS04-019 中有所描述。

Network Associates 合作的 Rafal Wojtczuk 所回報的問題,在 MS04-020 中有所描述。

Security-Assessment.com 的 Brett Moore 回報的問題,在 MS04-022 中有所描述。

Dustin Schneider 所回報的問題在 MS04-022 中有所描述。

Next Generation Security Software Ltd. 的 Peter Winter-Smith 回報的問題,在 MS04-022 中有所描述。

Security-Assessment.com 的 Brett Moore 回報的問題,在 MS04-023 中有所描述。

Top of sectionTop of section

取得其他安全性更新:

其他安全性議題的更新可由下列地點取得:

安裝性更新可以從 Microsoft 下載中心取得,您也可以利用 "security_patch" 關鍵字搜尋輕易地找到安全性更新。

使用者平台的更新程式可以從 Windows Update 網站取得。

支援:

美國及加拿大地區客戶可電洽 1-866-PCSAFETY 以取得 Microsoft 技術支援。與安全性更新有關的支援電話不另外收費。

不同國家的客戶,可以從當地的 Microsoft 分公司取得支援。與安全性更新有關的支援電話不另外收費。關於如何連絡 Microsoft 技術支援的資訊,可以從 International Support Web Site (全球支援網站) 取得。

安全性資源:

Microsoft TechNet 安全性網站提供了有關 Microsoft 產品安全性的其他資訊。

Microsoft 軟體更新服務

Microsoft Baseline Security Analyzer (MBSA)

Windows Update

Windows Update 目錄:如需有關 Windows Update 目錄的進一步資訊,請參閱 Microsoft 知識庫文件編號 323166

Office Update

免責聲明:

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係按「現狀」提供,並不提供任何保證。不論明示或暗示,Microsoft 不作任何責任擔保,包括適售性以及適合特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發意外、推衍引發、業務利潤損失或特殊損害。即使 Microsoft corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區並不允許排除及限制推衍後果或意外損害責任,因此前述限制不適用於這些地區。

修訂:

V1.0 (2004 年 7 月 14 日):公告發行


回到頁首回到頁首