2004 年 10 月份 Microsoft 安全性公告摘要

Published: 2004 年 10 月 14 日

發佈日期：2004 年 10 月 14 日
版本號碼：1.0

請參考此處所提供的使用者版本資訊。

保護您的個人電腦：Microsoft 在下列網址提供有助於保護電腦的相關資訊：

•	一般使用者可以瀏覽保護您的個人電腦網站。
•	IT 專業人員可以瀏覽資訊安全指導中心網站。

更新程式管理策略：Microsoft 安全性補充程式管理指南網站提供您有關套用安全性更新的 Microsoft 最佳實作建議資訊。

IT Pro Security Zone Community：在 IT Pro Security Zone 網站上，學習如何提升安全性以及改善您的 IT 基礎結構，與其他的 IT 專業人員共同參與各類安全性議題的討論。

Microsoft 安全性通知服務：若要在 Microsoft 安全性公告發佈時收到電子郵件通知，請訂閱 Microsoft 安全性通知服務。

摘要

本次摘要報告內含最近發現弱點的更新資訊。依照嚴重性的等級，這些弱點分類如下：

重大 (7)

公告編號	Microsoft 安全性公告 MS04-032
公告標題	Microsoft Windows 的安全性更新 (840987)
提要	Windows 中存在一項遠端執行程式碼的弱點、兩項權限提高的弱點，以及一項拒絕服務的弱點。最嚴重的弱點可能會允許在受影響的系統上遠端執行程式碼。
最高的嚴重性等級	重大
弱點的影響	遠端執行程式碼
受影響的軟體	Windows。如需更多資訊，請參閱安全性公告摘要的＜受影響軟體及下載位置＞部份。

公告編號	Microsoft 安全性公告 MS04-033
公告標題	Microsoft Excel 中的弱點可能會允許程式碼執行 (886836)
提要	Microsoft Excel 中存在的弱點，可能會在受影響的系統上允許遠端執行程式碼。
最高的嚴重性等級	重大
弱點的影響	遠端執行程式碼
受影響的軟體	Office、Excel、Office for Mac、Excel for Mac。如需更多資訊，請參閱安全性公告摘要的＜受影響軟體及下載位置＞部份。

公告編號	Microsoft 安全性公告 MS04-034
公告標題	壓縮資料夾中的弱點可能會允許程式碼執行 (873376)
提要	Windows 處理壓縮資料夾的方式有弱點，可能會在受影響的系統上允許遠端執行程式碼。
最高的嚴重性等級	重大
弱點的影響	遠端執行程式碼
受影響的軟體	Windows。如需更多資訊，請參閱安全性公告摘要的＜受影響軟體及下載位置＞部份。

公告編號	Microsoft 安全性公告 MS04-035
公告標題	SMTP 中的弱點可能會允許遠端執行程式碼 (885881)
提要	Windows SMTP 元件與 Exchange Server 路由引擎元件中存在的弱點，可能會在受影響的系統上允許遠端執行程式碼。
最高的嚴重性等級	重大
弱點的影響	遠端執行程式碼
受影響的軟體	Windows 與 Exchange。如需更多資訊，請參閱安全性公告摘要的＜受影響軟體及下載位置＞部份。

公告編號	Microsoft 安全性公告 MS04-036
公告標題	NNTP 中的弱點可能會允許遠端執行程式碼 (883935)
提要	Windows NNTP 元件中存在的弱點，可能會在受影響的系統上允許遠端執行程式碼。
最高的嚴重性等級	重大
弱點的影響	遠端執行程式碼
受影響的軟體	Windows 與 Exchange。如需更多資訊，請參閱安全性公告摘要的＜受影響軟體及下載位置＞部份。

公告編號	Microsoft 安全性公告 MS04-037
公告標題	Windows Shell 中的弱點可能會允許遠端執行程式碼 (841356)
提要	Windows Shell 啟動應用程式的方式有弱點。由於程式群組轉換程式處理蓄意製作的要求的方式有問題，因此存在弱點。兩項弱點都可能會在受影響的系統上允許遠端執行程式碼。
最高的嚴重性等級	重大
弱點的影響	遠端執行程式碼
受影響的軟體	Windows。如需更多資訊，請參閱安全性公告摘要的＜受影響軟體及下載位置＞部份。

公告編號	Microsoft 安全性公告 MS04-038
公告標題	Internet Explorer 累積的安全性更新 (834707)
提要	Internet Explorer 存在五項遠端執行程式碼與三項資訊洩露弱點。
最高的嚴重性等級	重大
弱點的影響	遠端執行程式碼
受影響的軟體	Windows、Internet Explorer。如需更多資訊，請參閱安全性公告摘要的＜受影響軟體及下載位置＞部份。

Top of section

重要 (3)

公告編號	Microsoft 安全性公告 MS04-029
公告標題	RPC Runtime 程式庫中的弱點可能會導致資訊洩露與拒絕服務 (873350)
提要	發現一項資訊洩露與拒絕服務的弱點，可能會導致受影響的系統停止回應，或可能會讀取部分使用中記憶體內容。
最高的嚴重性等級	重要
弱點的影響	資訊洩露與拒絕服務
受影響的軟體	Windows。如需更多資訊，請參閱安全性公告摘要的＜受影響軟體及下載位置＞部份。

公告編號	Microsoft 安全性公告 MS04-030
公告標題	WebDav XML Message Handler 中的弱點可能會導致拒絕服務 (824151)
提要	發現一項拒絕服務的弱點，可能會導致受影響的系統停止回應要求。
最高的嚴重性等級	重要
弱點的影響	拒絕服務
受影響的軟體	Windows。如需更多資訊，請參閱安全性公告摘要的＜受影響軟體及下載位置＞部份。

公告編號	Microsoft 安全性公告 MS04-031
公告標題	NetDDE 中的弱點可能會允許遠端執行程式碼 (841533)
提要	NetDDE 服務中存在的遠端執行程式碼弱點是未檢查的緩衝區所致。
最高的嚴重性等級	重要
弱點的影響	遠端執行程式碼
受影響的軟體	Windows。如需更多資訊，請參閱安全性公告摘要的＜受影響軟體及下載位置＞部份。

Top of section

受影響軟體及下載位置

我該如何使用這個表格？

您可以用這個表格來瞭解可能需要安裝的安全性更新有哪些。您應該查看此處列出的每一種軟體程式或元件，看看是否有需要的安全性更新。在列出的軟體程式或元件旁邊，會附註弱點的影響層級，同時也會列出可用軟體更新的超連結。

在表格中如出現 [x] 標記 (x 為一個數字)，表示會有一段說明狀況的相關說明。說明文字位於表格的下方。

受影響軟體及下載位置

	詳細資訊	詳細資訊	詳細資訊	詳細資訊	詳細資訊	詳細資訊	詳細資訊	詳細資訊	詳細資訊	詳細資訊
公告編號	MS04-029	MS04-030	MS04-031	MS04-032	MS04-033	MS04-034	MS04-035	MS04-036	MS04-037	MS04-038
最高的嚴重性等級	重要	重要	重要	重大	重大	重大	重大	重大	重大	重大
受影響的 Windows 軟體：
Windows Server 2003		重要	重要	重大		重大	重要	重要	重要	[3]
Windows Server 2003 64-Bit Edition		重要	重要	重大		重大	重要	重要	重要	[3]
Windows XP		重要	重要	重大		重大			重大	[3]
Windows XP Service Pack 1		重要	重要	重大		重大			重大	[3]
Windows XP Service Pack 2										[3]
Windows XP 64-Bit Edition Service Pack 1		重要	重要	重大		重大			重大	[3]
Windows XP 64-Bit Edition Version 2003		重要	重要	重大		重大	重要		重大	[3]
Windows 2000 Service Pack 3		重要	重要	重大				重要	重大	[3]
Windows 2000 Service Pack 4		重要	重要	重大				重要	重大	[3]
Windows NT Server 4.0 Service Pack 6a	重要		重要	重大				重要	重大	[3]
Windows NT Server 4.0 Terminal Server Edition Service Pack 6	重要		重要	重大					重大	[3]
Windows Millennium Edition (Me)			[2]	[2]					[2]	[3]
Windows 98 Second Edition (SE)			[2]	[2]					[2]	[3]
Windows 98			[2]	[2]					[2]	[3]

受影響的 Windows 作業系統元件：
Internet Explorer 5.01 Service Pack 3										重大
Internet Explorer 5.01 Service Pack 4										重大
Windows ME 中的 Internet Explorer 5.5 Service Pack 2										重大
Internet Explorer 6										重大
Internet Explorer 6 Service Pack 1										重大[5]
Internet Explorer 6 Service Pack 1 (64 位元版)										重大
Windows XP Service Pack 2 的 Internet Explorer 6										重要
Internet Explorer 6 for Windows Server 2003										重要
Internet Explorer 6 for Windows Server 2003 (64 位元版)										重要

受影響的 Office 軟體：
Office 2000 Service Pack 3					重大
Office XP Service Pack 2					重大
Office 2001 for Mac					重要
Office X for Mac					重要
Office 2004 for Mac					重要

Exchange 受影響的軟體：
Exchange 2000 Server								重大[4]
Exchange Server 2003								重要[4]
安裝於 Windows Server 2003 上的 Exchange Server 2003							重大[4]
安裝於 Windows Server 2003 上的 Exchange Server 2003 Service Pack 1							重大[4]
安裝於 Windows 2000 Service Pack 3 或 Windows 2000 Service Pack 4 上的 Exchange Server 2003							重大

[1] 依預設值，此作業系統不會受到此問題的影響，不過如果安裝了其他的軟體程式或元件，就可能會受到影響。請參閱相關的安全性公告以獲得更多詳細資訊。

[2] 此作業系統會受到此問題的影響，不過並不會帶來重大的影響。通常並不會為此作業系統提供非重大議題的安全性更新。如想瞭解這些作業系統的 Microsoft 技術支援週期準則，請瀏覽這個網站。請參閱相關的安全性公告以獲得更多詳細資訊。

[3] 已經針對此作業系統提供了安全性更新程式。請參閱表格中受影響的元件、Microsoft Internet Explorer 以及相關的安全性公告以獲得更多詳細資訊。

[4] 此軟體程式使用下列作業系統元件，因此稱為受影響的軟體。請參閱表格中受影響的作業系統，以及相關的安全性公告以獲得更多詳細資訊。

[5] 此更新是專門為 Microsoft Windows 2000 Service Pack 3、Microsoft Windows Service Pack 4、Microsoft Windows XP，以及 Microsoft Windows XP Service Pack 1 系統上的 Internet Explorer 6 Service Pack 1 所設計。
您可以在下列的下載位置中，找到 Microsoft Windows NT Server 4.0 Service Pack 6a、Microsoft Windows NT Server 4.0 Terminal Service Edition Service Pack 6、Microsoft Windows 98、Microsoft Windows 98 SE，以及 Microsoft Windows ME 上的 Internet Explorer 6 Service Pack 1 專用的重大安全性更新。

Top of section

部署

軟體更新服務：

Microsoft Software Update Services (SUS) 能讓系統管理員以迅速可靠的方式，針對 Windows 2000 和 Windows Server 2003 伺服器以及執行 Windows 2000 Professional 或 Windows XP Professional 的桌面系統，部署最新的重要更新程式及安全性更新程式。

如需如何透過「軟體更新服務」部署這個安全性更新的詳細資訊，請瀏覽軟體更新服務網站。

Systems Management Server：

Microsoft Systems Management Server (SMS) 提供了深具彈性的設定組態企業級因應措施，能夠對更新程式進行方便的管理。透過使用 SMS，系統管理員能判斷企業中有哪些 Windows 系統需要安裝安全性更新，並控制更新程式在企業中部署的流程，同時也將對使用者造成的干擾降到最低。如需系統管理員能如何利用 SMS 2003 部署安全性更新的詳細資訊，請瀏覽 SMS 2003 安全性補充程式管理網站 (英文)。 SMS 2.0 使用者也可以利用 Software Updates Service Feature Pack 來協助部署安全性更新。如需關於 SMS 的詳細資訊，請瀏覽 SMS 網站。

注意：SMS 使用 Microsoft Baseline Security Analyzer 及 Microsoft Office Detection Tool，為安全性公告的更新偵測及部署作業提供相當廣泛的支援。不過這些工具可能無法偵測部份的安全性更新。在這些情況中，系統管理員可以利用 SMS 的編制清查能力，判斷特定系統所需要的更新程式。如需這個程序的詳細資訊，請瀏覽這個網站。某些安全性更新程式在電腦重新啟動之後，會需要用到系統管理員的權限。系統管理員可以用 Elevated Rights Deployment Tool (隨 SMS 2003 Administration Feature Pack 和 SMS 2.0 Administration Feature Pack 提供) 來安裝這些更新。

QChain.exe 和 Update.exe：

Microsoft 已經發行了一個名為 QChain.exe 的命令行工具，能讓系統管理員以安全可靠的方式將安全性更新串連在一起。所謂串連，是指當您安裝數個更新程式時，不需要在每個更新程式安裝之後重新開機。本摘要文件所描述的更新所使用的 Update.exe 工具中，已內建有串連的功能。客戶如果使用的是 Windows 2000 Service Pack 2 或更新版本、Windows XP 或 Windows Server 2003，就不需要利用 Qchain.exe 來串連這些更新程式。 Qchain.exe 仍然支援這些 Windows 更新程式，因此管理員可以建立一致的部署指令碼，以便跨所有的平台使用。如需有關 Qchain 的進一步資訊，請參閱此網站。

整合安全性更新到您的 Windows 安裝來源檔：

您可以將使用 Update.exe 的 Windows 軟體更新與 Windows 安裝來源檔整合。當系統管理員於安裝期間，必須從自己建立的 Windows 發佈資料夾套用一個以上的軟體更新時，這個程序可能很實用。整合安全性更新使安裝的新系統不受病毒感染時，此程序也很實用。如需更多資訊，請參閱 Microsoft 知識庫文件編號 828930。

Microsoft Baseline Security Analyzer：

Microsoft Baseline Security Analyzer (MBSA) 能讓系統管理員掃描本地和遠端系統，偵查任何缺少安全性更新以及一般安全性設定錯誤的狀況。如需更多有關 MBSA 的資訊，請瀏覽 Microsoft Baseline Security Analyzer 網站。

Top of section

其他資訊：

感謝：

Microsoft 感謝下列人士協助我們一同保護我們的客戶：

•	BindView 回報 MS04-029 中描述的問題。
•	Amit Klein 與 Sanctum Inc.，回報 MS04-030 中描述的問題。
•	Next Generation Security Software Ltd. 的 John Heasman，回報 MS04-031 中描述的問題。
•	Security-Assessment.com 的 Brett Moore，回報 MS04-032 中描述的問題。
•	eEye Digital Security 回報 MS04-032 中描述的問題。
•	Patrick Porlan 與 Winternals Software 的 Mark Russinovich 回報 MS04-032 中描述的問題。
•	hlt 回報 MS04-032 中描述的問題。
•	Security-Assessment.com 的 Brett Moore，回報 MS04-033 中描述的問題。
•	eEye Digital Security 回報 MS04-034 中描述的問題。
•	Core Security Technologies 的 Lucas Lavarello 和 Juliano Rizzo 回報 MS04-036 中描述的問題。
•	ITsec Security Services 的 Yorick Koster 協助我們解決 MS04-037 中描述的問題。
•	Roozbeh Afrasiabi 協助我們解決 MS04-037 中描述的問題。
•	KPMG UK 的 Greg Jones 與 Next Generation Security Software Ltd. 的 Peter Winter-Smith，回報 MS04-038 中描述的問題。
•	ACROS Security 的 Mitja Kolsek，回報 MS04-038 中描述的問題。
•	Next Generation Security Software Ltd. 的 John Heasman，回報 MS04-038 中描述的問題。

取得其他安全性更新：

其他安全性議題的更新可由下列地點取得：

•	安裝性更新可以從 Microsoft 下載中心取得，您也可以利用 "security_patch" 關鍵字搜尋輕易地找到安全性更新。
•	使用者平台的更新程式可以從 Windows Update 網站取得。

支援：

•	美國及加拿大地區客戶可電洽 1-866-PCSAFETY Microsoft 產品支援服務以取得技術支援。與安全性更新有關的支援電話不另外收費。
•	不同國家的客戶，可以從當地的 Microsoft 分公司取得支援。與安全性更新有關的支援電話不另外收費。如需如何連絡 Microsoft 技術支援的詳細資訊，可以從世界各地技術支援網站取得。

安全性資源：

•	Microsoft TechNet 資訊安全網站提供了有關 Microsoft 產品安全性的其他資訊。
•	Microsoft 軟體更新服務
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Windows Update 目錄：如需有關 Windows Update 目錄的詳細資訊，請參閱 Microsoft 知識庫文件編號 323166。
•	Office Update

免責聲明：

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係按「現狀」提供，並不提供任何保證。 Microsoft 不做任何明示或暗示的責任擔保，包括適售性以及適合特定用途之擔保責任。無論任何情況下的損害，Microsoft Corporation 及其供應商皆不負任何法律責任，包括直接、間接、偶發意外、推衍引發、業務利潤損失或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區並不允許排除及限制推衍後果或意外損害責任，因此前述限制不適用於這些地區。

修訂：

•	V1.0 (2004 年 10 月 14 日)：公告發行

Top of section

回到頁首