TechNet 首頁 > TechNet 資訊安全 > 資訊安全公告

2005 年 2 月份 Microsoft 安全性公告摘要

發佈日期:2005 年 2 月 9 日
版本號碼:1.0

請參考此處所提供的使用者版本資訊。

保護您的電腦:Microsoft 在下列網址提供有助於保護電腦的相關資訊:

一般使用者可以造訪保護您的電腦網站

IT 專業人員可以造訪資訊安全指導中心網站。  

更新程式管理策略:Microsoft 安全性補充程式管理指南網站提供您有關套用安全性更新的 Microsoft 最佳實作建議資訊。

IT Pro 資訊安全區社群:IT Pro 資訊安全區網站 (英文) 上,學習如何提升安全性及加強您的 IT 基礎結構,並與其他的 IT 專業人員共同參與各類安全性議題的討論。

Microsoft 安全性通知服務:如果要在 Microsoft 安全性公告發佈時收到電子郵件通知,請訂閱 Microsoft 安全性通知服務 (英文)。

摘要

本次摘要報告內含最近發現弱點的更新資訊。 依照嚴重性的等級,這些弱點分類如下:

重大 (8)

公告編號Microsoft 安全性公告 MS05-009

公告標題

PNG 處理弱點可能會允許遠端執行程式碼 (890261)

提要

公開存在的弱點可能會允許遠端執行程式碼。

最高的嚴重性等級

重大

弱點的影響

遠端執行程式碼

受影響的軟體

Windows 及 MSN Messenger。 如需更多資訊,請參閱<受影響的軟體及下載位置>部分。

公告編號Microsoft 安全性公告 MS05-010

公告標題

License Logging 服務的弱點可能允許遠端執行程式碼 (885834)

提要

存在的弱點可能會允許遠端執行程式碼。

最高的嚴重性等級

重大

弱點的影響

遠端執行程式碼

受影響的軟體

Windows。 如需更多資訊,請參閱<受影響的軟體及下載位置>部分。

公告編號Microsoft 安全性公告 MS05-011

公告標題

伺服器訊息區中的弱點可能會允許遠端執行程式碼 (885250)

提要

存在的弱點可能會允許遠端執行程式碼。

最高的嚴重性等級

重大

弱點的影響

遠端執行程式碼

受影響的軟體

Windows。 如需更多資訊,請參閱<受影響的軟體及下載位置>部分。

公告編號Microsoft 安全性公告 MS05-012

公告標題

OLE 及 COM 中的弱點可能會允許遠端執行程式碼 (873333)

提要

存在的弱點可能會允許遠端執行程式碼。

最高的嚴重性等級

重大

弱點的影響

遠端執行程式碼

受影響的軟體

Windows。 如需更多資訊,請參閱<受影響的軟體及下載位置>部分。

公告編號Microsoft 安全性公告 MS05-013

公告標題

DHTML 編輯元件 ActiveX 控制項中的弱點可能會允許遠端執行程式碼 (891781)

提要

公開存在的弱點可能會允許遠端執行程式碼。

最高的嚴重性等級

重大

弱點的影響

遠端執行程式碼

受影響的軟體

Windows。 如需更多資訊,請參閱<受影響的軟體及下載位置>部分。

公告編號Microsoft 安全性公告 MS05-014

公告標題

Internet Explorer 積存安全性更新 (867282)

提要

Internet Explorer 中存在的弱點可能會使受影響的系統允許遠端執行程式碼。

最高的嚴重性等級

重大

弱點的影響

遠端執行程式碼

受影響的軟體

Windows 及 Internet Explorer。 如需更多資訊,請參閱<受影響的軟體及下載位置>部分。

公告編號Microsoft 安全性公告 MS05-015

公告標題

超連結物件程式庫中的弱點可能會允許遠端執行程式碼 (888113)

提要

存在的弱點可能會允許遠端執行程式碼。

最高的嚴重性等級

重大

弱點的影響

遠端執行程式碼

受影響的軟體

Windows。 如需更多資訊,請參閱<受影響的軟體及下載位置>部分。

公告編號Microsoft 安全性公告 MS05-005

公告標題

Office 中的弱點可能會允許遠端執行程式碼 (873352)

提要

存在的弱點可能會允許遠端執行程式碼。

最高的嚴重性等級

重大

弱點的影響

遠端執行程式碼

受影響的軟體

Office。 如需更多資訊,請參閱<受影響的軟體及下載位置>部分。

Top of sectionTop of section

重要 (3)

公告編號Microsoft 安全性公告 MS05-004

公告標題

ASP.Net 中的弱點可能會導致驗證略過的問題 (887219)

提要

ASP.NET 中的弱點可允許攻擊者對 ASP.NET 站台部分區域取得未授權的存取權限。

最高的嚴重性等級

重要

弱點的影響

權限提高

受影響的軟體

.NET 開發者工具及平台。 如需更多資訊,請參閱<受影響的軟體及下載位置>部分。

公告編號Microsoft 安全性公告 MS05-007

公告標題

Windows 中的弱點可能會導致資訊洩露 (888302)

提要

存在的弱點可能會讓使用者名稱在連線到共用資源時遭到讀取。

最高的嚴重性等級

重要

弱點的影響

資訊洩露

受影響的軟體

Windows。 如需更多資訊,請參閱<受影響的軟體及下載位置>部分。

公告編號Microsoft 安全性公告 MS05-008

公告標題

Windows Shell 中的弱點可能會允許遠端執行程式碼 (890047)

提要

存在的弱點可能會允許遠端執行程式碼。 然而,必須有使用者互動才可能產生影響。

最高的嚴重性等級

重要

弱點的影響

遠端執行程式碼

受影響的軟體

Windows。 如需更多資訊,請參閱<受影響的軟體及下載位置>部分。

Top of sectionTop of section

中度 (1)

公告編號Microsoft 安全性公告 MS05-006

公告標題

Windows SharePoint Services 和 SharePoint Team Services 中的弱點可能會允許跨網站指令碼和偽造攻擊 (887981)

提要

存在的弱點可能會允許使用者執行惡意程式碼、偽造內容,或修改快取。

最高的嚴重性等級

中度

弱點的影響

遠端執行程式碼

受影響的軟體

Windows 及 Office。 如需更多資訊,請參閱<受影響的軟體及下載位置>部分。

Top of sectionTop of section

受影響的軟體及下載位置

我該如何使用這個表格?

您可以用這個表格來瞭解可能需要安裝的安全性更新有哪些。 您應該查看此處列出的每一種軟體程式或元件,看看是否有需要的安全性更新。 在列出的軟體程式或元件旁邊,會附註弱點的影響等級,同時也會列出可用軟體更新的超連結。

在表格中如出現 [x] 標記 (x 為一個數字),表示會有一段說明狀況的相關說明。 說明文字位於表格的下方。

注意:一項弱點可能需要安裝數個安全性更新才能妥善解決。 請參閱各公告的相關欄位以確認您必須安裝的更新。安裝的項目視您系統上所安裝的程式或元件而定。

例如:安全性公告 MS05-009 提供數種您必須安裝的安全性更新,視您安裝的受影響軟體與受影響元件而定。

受影響的軟體及下載位置 (MS05-004 至 MS05-009)
 詳細資訊        詳細資訊        詳細資訊        詳細資訊        詳細資訊        詳細資訊        

公告編號

MS05-004

MS05-005

MS05-006

MS05-007

MS05-008

MS05-009

最高的嚴重性等級

重要

重大

中度

重要

重要

重大

 

受影響的 Windows 軟體:

 

 

 

 

 

 

Windows Server™ 2003

[1]

 

[1]

 

中度

[3] [4]

Windows Server 2003 64-Bit Edition

 

 

 

 

中度

 

Windows XP Service Pack 1

[1]

 

 

重要

重要

[3] [4] [5]

Windows XP Service Pack 2

[1]

 

 

中度

重要

[3] [5]

Windows XP 64-Bit Edition Service Pack 1

 

 

 

重要

重要

 

Windows XP 64-Bit Edition Version 2003

 

 

 

 

中度

 

Windows 2000 Service Pack 3

[1]

 

 

 

重要

[3] [4]

Windows 2000 Service Pack 4

[1]

 

 

 

重要

[3] [4]

Windows NT Server 4.0 Service Pack 6a

 

 

 

 

 

 

Windows NT Server 4.0 Terminal Server Edition Service Pack 6

 

 

 

 

 

 

Windows Millennium Edition (Me)

 

 

 

 

[2]

[4]

Windows 98 Second Edition (SE)

 

 

 

 

[2]

[4]

Windows 98

 

 

 

 

[2]

[4]

 

 

 

 

 

 

 

受影響的 Windows 作業系統元件:

 

 

 

 

 

 

Windows SharePoint Services

 

 

中度

 

 

 

Windows 2000 Service Pack 3 或 Service Pack 4、Windows XP Service Pack 1、Windows Server 2003 中的 Windows Media Player 9 Series

 

 

 

 

 

重大

Windows 98、Windows 98 SE 或 Windows ME 中的 Windows Media Player 9 Series

 

 

 

 

 

重大

Windows Messenger 4.7.0.2009

 

 

 

 

 

中度

Windows Messenger 4.7.0.3000

 

 

 

 

 

中度

Windows Messenger 5.0

 

 

 

 

 

中度

 

 

 

 

 

 

 

 

受影響的 Office 軟體:

 

 

 

 

 

 

SharePoint Team Services from Microsoft

 

 

中度

 

 

 

 

 

 

 

 

 

 

 

受影響的 .NET 開發工具及平台:

 

 

 

 

 

 

 Windows 2000 Service Pack 3 或 Service Pack 4、Windows XP Service Pack 1 或 Service Pack 2、Windows Server 2003 中的 .NET Framework 1.0 Service Pack 2

重要

 

 

 

 

 

 Windows 2000 Service Pack 3 或 Service Pack 4、Windows XP Service Pack 1 或 Service Pack 2、Windows Server 2003 中的 .NET Framework 1.0 Service Pack 3

重要

 

 

 

 

 

 Windows XP Tablet PC Edition 或 Windows XP Media Center Edition 中的 .NET Framework 1.0 Service Pack 2

重要

 

 

 

 

 

 Windows XP Tablet PC Edition 或 Windows XP Media Center Edition 中的 .NET Framework 1.0 Service Pack 3

重要

 

 

 

 

 

 Windows 2000 Service Pack 3 或 Service Pack 4、Windows XP Service Pack 1 或 Service Pack 2、Windows XP Tablet PC Edition、Windows XP Media Center Edition 中的 .NET Framework 1.1

重要

 

 

 

 

 

 Windows Server 2003 中的 .NET Framework 1.1

重要

 

 

 

 

 

 Windows 2000 Service Pack 3 或 Service Pack 4、Windows XP Service Pack 1 或 Service Pack 2、Windows XP Tablet PC Edition、Windows XP Media Center Edition 中的 .NET Framework 1.1 Service Pack 1

重要

 

 

 

 

 

 Windows Server 2003 中的 .NET Framework 1.1 Service Pack 1

重要

 

 

 

 

 

 

其他受影響的 Microsoft 軟體:

 

 

 

 

 

 

MSN Messenger 6.1

 

 

 

 

 

重大

MSN Messenger 6.2

 

 

 

 

 

重大

Top of sectionTop of section
受影響的軟體及下載位置 (MS05-010 至 MS05-015)
 詳細資訊        詳細資訊        詳細資訊        詳細資訊        詳細資訊        詳細資訊        

公告編號

MS05-010

MS05-011

MS05-012

MS05-013

MS05-014

MS05-015

最高的嚴重性等級

重大

重大[6]

重大

重大

重大

重大

 

受影響的 Windows 軟體:

 

 

 

 

 

 

Windows Server™ 2003

重大

重要[6]

中度

[1]

重大

 

Windows Server 2003 64-Bit Edition

重大

重要[6]

中度

[1]

重大

 

Windows XP Service Pack 1

重大

重要[6]

重大

[1]

重大

 

Windows XP Service Pack 2

重大

重要[6]

重要

[1]

重大

 

Windows XP 64-Bit Edition Service Pack 1

重大

重要[6]

重大

[1]

重大

 

Windows XP 64-Bit Edition Version 2003

重大

重要[6]

中度

[1]

重大

 

Windows 2000 Service Pack 3

重大

重要[6]

重大

[1]

重大

 

Windows 2000 Service Pack 4

重大

重要[6]

重大

[1]

重大

 

Windows NT Server 4.0 Service Pack 6a

 

 

 

[1]

 

 

Windows NT Server 4.0 Terminal Server Edition Service Pack 6

 

 

 

[1]

 

 

Windows Millennium Edition (Me)

 

[2] [6]

重大

[1]

重大

 

Windows 98 Second Edition (SE)

 

[2] [6]

重大

[1]

重大

 

Windows 98

 

[2] [6]

重大

[1]

重大

 

 

 

 

 

 

 

 

受影響的 Windows 作業系統元件:

 

 

 

 

 

 

Internet Explorer 5.01 Service Pack 3

 

 

 

重大

 

 

Internet Explorer 5.01 Service Pack 4

 

 

 

重大

 

 

Windows ME 中的 Internet Explorer 5.5 Service Pack 2

 

 

 

重大

 

 

Internet Explorer 6 Service Pack 1

 

 

 

重大

 

 

Internet Explorer 6 Service Pack 1 (64 位元版)

 

 

 

重大

 

 

Windows XP Service Pack 2 的 Internet Explorer 6

 

 

 

重大

 

 

Internet Explorer 6 for Windows Server 2003

 

 

 

重大

 

 

Internet Explorer 6 for Windows Server 2003 (64 位元版)

 

 

 

重大

 

 

 

 

 

 

 

 

 

 

受影響的 Office 軟體:

 

 

 

 

 

 

SharePoint Team Services from Microsoft

 

 

 

 

 

 

Office XP Service Pack 2

 

 

 

 

 

重大

Office XP Service Pack 3

 

 

 

 

 

重大

Project 2002

 

 

 

 

 

重大

Visio 2002

 

 

 

 

 

重大

Works Suite 2002

 

 

 

 

 

重大

Works Suite 2003

 

 

 

 

 

重大

Works Suite 2004

 

 

 

 

 

重大

Top of sectionTop of section

注意

[1] 依照預設,此作業系統不會受到此問題的影響, 不過如果安裝了其他的軟體程式或元件,就可能會受到影響。 請參閱相關的安全性公告以獲得更多詳細資訊。

[2] 此作業系統會受到此問題的影響, 不過並不會帶來重大的影響。 通常並不會為此作業系統提供非重大議題的安全性更新。 如想瞭解這些作業系統的 Microsoft 技術支援週期準則,請瀏覽這個網站。 請參閱相關的安全性公告以獲得更多詳細資訊。

[3] MSN Messenger 6.1 及 6.2 如果在此作業系統上執行,即會受到影響。 請參閱<其他受影響的 Microsoft 軟體>下的<MSN Messenger>。

[4] Windows Media Player 9 Series 如果在此作業系統上執行即會受到影響。 請參閱<受影響的 Windows 作業系統元件>下的<Windows Media Player 9 Series>。

[5] Windows Messenger 4.7.0.2009 版如果在 Windows XP Service Pack 1 上執行即會受到影響。 Windows Messenger 4.7.0.3000 版如果在 Windows XP Service Pack 2 上執行即會受到影響。 Windows Messenger 5.0 也會受影響。 請參閱<受影響的 Windows 作業系統元件>下的各<Windows Messenger>章節,取得下載連結或安全性公告,以瞭解更多資訊。

[6] 部分產品如果安裝在此作業系統中也會嚴重受到影響。 請參閱公告內容以瞭解詳細資訊。

Top of sectionTop of section

部署

Software Update Services:

Microsoft Software Update Services (SUS) 能讓系統管理員以迅速可靠的方式,針對 Windows 2000 和 Windows Server 2003 伺服器以及執行 Windows 2000 Professional 或 Windows XP Professional 的桌面系統,部署最新的重要更新程式及安全性更新程式。

如需如何透過 Software Update Services 部署這個安全性更新的詳細資訊,請造訪 Software Update Services 網站

Systems Management Server:

Microsoft Systems Management Server (SMS) 提供了深具彈性的企業解決方案,能夠對更新程式進行方便的管理。 透過 SMS,系統管理員能判斷有哪些 Windows 系統需要安全性更新,並控制更新程式在企業中的部署,同時將對使用者造成的干擾降到最低。 如需更多關於系統管理員如何使用 SMS 2003 部署安全性更新的資訊,請瀏覽 SMS 2003 的安全性補充程式管理網站。 SMS 2.0 使用者也可以利用 SMS 軟體更新服務功能套件來協助部署安全性更新。 如需關於 SMS 的詳細資訊,請造訪 SMS 網站

注意:SMS 使用 Microsoft Baseline Security Analyzer 及 Microsoft Office Detection Tool,為安全性公告更新的偵測及部署作業提供相當廣泛的支援。 不過這些工具可能無法偵測部分的軟體更新。 在這些情況中,系統管理員可以利用 SMS 的清查功能,判斷特定系統所需要的更新程式。 如需更多關於這個程序的資訊,請瀏覽這個網站 (英文)。 某些安全性更新程式在電腦重新啟動之後,會需要系統管理員的權限。 系統管理員可以用 Elevated Rights Deployment Tool (隨 SMS 2003 Administration Feature Pack (英文) 和 SMS 管理功能套件 (英文) 提供) 來安裝這些更新。

QChain.exe 和 Update.exe:

Microsoft 已經發行了一個名為 QChain.exe 的命令行工具,能讓系統管理員以安全可靠的方式將安全性更新串連在一起。 所謂串連,是指當您安裝數個更新程式時,不需要在每個更新程式安裝之後重新開機。 本摘要文件所描述的更新所使用的 Update.exe 工具中,已內建有串連的功能。 客戶如果使用的是 Windows 2000 Service Pack 2 或更新版本、Windows XP 或 Windows Server 2003,就不需要利用 Qchain.exe 來串連這些更新程式。 Qchain.exe 仍然支援這些 Windows 更新程式,因此管理員可以建立一致的部署指令碼,以便跨所有的平台使用。 如需有關 Qchain 的進一步資訊,請造訪此網站

Microsoft Baseline Security Analyzer:

Microsoft Baseline Security Analyzer (MBSA) 能讓系統管理員掃描本地和遠端系統,偵查任何缺少安全性更新以及一般安全性設定錯誤的狀況。 如需更多有關 MBSA 的資訊,請造訪 Microsoft Baseline Security Analyzer 網站

Top of sectionTop of section
Top of sectionTop of section

其他資訊:

感謝

Microsoft 感謝下列人士協助我們一同保護我們的客戶:

Song Liu、Hongzhen Zhou 及 ISS 回報 MS05-005 中描述的問題。

Accenture 的 Norman Chiong 回報 MS05-006 中描述的問題。

Herve Schauer Consultants 的 Jean-Baptiste Marchand 回報 MS05-007 中描述的問題。

Core Security Technologies 的 Carlos Sarraute,回報 MS05-009 中描述的問題。

CERT RENATER 的 Kostya Kortchinsky 回報 MS05-010 中描述的問題。

eEYE 回報 MS05-011 中描述的問題。

Application Security Inc 的 Cesar Cerrudo 回報 MS05-012 中描述的問題。

Michael Krax 協助我們解決 MS05-014 中描述的問題。

Secunia 的 Andreas Sandblad 回報 MS05-014 中描述的問題。

Jouko Pynnönen 回報 MS05-014 中描述的問題。

Finjan 回報 MS05-015 中描述的問題。

Top of sectionTop of section

取得其他安全性更新:

其他安全性問題的更新可由下列位置取得:

安裝性更新可以從 Microsoft 下載中心取得, 您也可以利用 "security_patch" 關鍵字搜尋輕易地找到安全性更新。

使用者平台的更新程式可以從 Windows Update 網站取得。

支援:

美國 及加拿大地區客戶可電洽 1-866-PCSAFETY Microsoft 技術支援服務以取得技術支援。 與安全性更新有關的支援電話不另外收費。

不同國家的客戶,可以從當地的 Microsoft 分公司取得支援。 與安全性更新有關的支援電話不另外收費。 如需更多關於連絡 Microsoft 技術支援的資訊,請造訪世界各地技術支援網站

安全性資源:

Microsoft TechNet 資訊安全網站提供了有關 Microsoft 產品安全性的其他資訊。

Microsoft Software Update Services

Microsoft Baseline Security Analyzer (MBSA)

Windows Update

Windows Update 目錄:如需更多關於 Windows Update 目錄的資訊,請參閱 Microsoft 知識庫文件編號 323166

Office Update 

免責聲明:

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。 Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。 無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。 某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂:

V1.0 (2005 年 2 月 8 日):公告發行


回到頁首回到頁首