MS02-032:可用于 WMDM PMSP 服务漏洞的修补程序

文章翻译 文章翻译
文章编号: 321677 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

由于存在 WMDM PMSP 服务漏洞,装有 Windows Media Player 的计算机就可以利用 WMDM PMSP 服务来连接恶意命名管道。

这是一个特权升级漏洞。如果恶意用户能够交互登录控制台并运行该计算机中的程序,就可能会进行搜寻,以利用此漏洞并获取与操作系统本身相同的计算机操作权限。这样,攻击者就可以在该计算机上添加、更改或删除文件。攻击者还可以更改安全设置或在计算机中添加帐户。

原因

出现此漏洞的原因是:“Windows Media 设备管理器”服务在处理访问本地存储设备的请求时,方式有缺陷。该服务不能正确地识别对本地存储设备的无效请求。

解决方案

Windows Media Player for Windows XP

要解决此问题,请获取最新的 Microsoft XP Service Pack。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389 How to Obtain the Latest Windows XP Service Pack
Windows Media Player 升级程序包中包含了解决此问题的更新程序,下面的 Microsoft 知识库文章中提到了该程序包:
320920 MS02-032:Windows Media Player Rollup Available

Windows Media Player 7.1

Windows Media Player 升级程序包中包含了解决此问题的更新程序,下面的 Microsoft 知识库文章中提到了该程序包:
320920 MS02-032:Windows Media Player Rollup Available

状态

Microsoft 已经确认:此问题可能会给本文前面列出的 Windows Media Player 的版本造成一定程度的安全隐患。 此问题最早是在 Windows XP Service Pack 1 中得到解决。

更多信息

此特定漏洞只影响基于 Microsoft Windows 2000 的计算机上的 Windows Media Player 7.1,此问题不影响所有平台上的 Windows Media Player 6.4、Windows Media Player for Microsoft Windows XP 以及 Microsoft Windows 98 和 Microsoft Windows Millennium Edition (Me) 上的 Windows Media player 7.1。用户只有在登录到计算机中的控制台时,才能利用此漏洞。此漏洞不影响终端会话。用户还必须将一个恶意程序引入计算机。因此,更有可能受到此漏洞影响的是客户机,而不是服务器(例如,Microsoft SQL 服务器或 Microsoft Exchange 服务器)。这是因为那些程序通常会有这样的限制:只有管理员才能进行交互登录。最后,在客户机上,通过各种方法(例如,通过组策略、软件限制策略和物理安全性)对用户在计算机中引入并运行代码的能力加以限制,会大大缓解向此漏洞的泄露。

在用户使用由有特权的安全上下文使用的管理性 NT\DosDevices 对象文件夹时,就会出现这种类型的漏洞。

属性

文章编号: 321677 - 最后修改: 2003年10月24日 - 修订: 1.2
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Media Player 7.1?当用于
    • Microsoft Windows 2000 Standard Edition
关键字:?
kbbug kbfix kbsecvulnerability kbenv kbsecurity kbmm kbsecbulletin kbsechack kbwinxpsp1fix KB321677
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com