MS02-032:WMDM PMSP 服務弱點可用的補充程式

文章翻譯 文章翻譯
文章編號: 321677 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

WMDM PMSP 服務的弱點可使電腦安裝了 Windows Media Player,但卻不當利用 WMDM PMSP 服務來連線惡意的具名管道,

這是一種不當提高權限的弱點。惡意使用者可以互動方式登入主控台並且尋求利用這項弱點在電腦上執行程式,取得與該電腦作業系統相同權限,這樣可能使得攻擊者可以在電腦上新增、變更或刪除任何檔案,而攻擊者也可能變更安全性設定或在電腦上新增帳號。

發生的原因

由於 Windows Media Device Manager 服務處理請求存取本機儲存裝置的方式有問題,導致弱點的產生,該項服務並不會正確地識別出對本機儲存裝置的無效請求。

解決方案

Windows Media Player for Windows XP

如果要解決這個問題,請取得最新版的 Windows XP Service Pack。如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322389 如何取得最新版的 Windows XP Service Pack
這個問題的更新程式包含在 Windows Media Player 總成套件中,在下列「Microsoft 知識庫」的文章中提到這項更新程式:
320920 MS02-032:可用的 Windows Media Player 總成

Windows Media Player 7.1

對於這個問題的更新程式包含在 Windows Media Player 總成套件中,在下列「Microsoft 知識庫」的文章中提到這項更新程式:
320920 MS02-032:可用的 Windows Media Player 總成

狀況說明

Microsoft 已經確認這項問題將在本篇文章前文所列之 Windows Media Player 版本中,造成一定程度的安全性弱點。 這個問題在 Windows XP Service Pack 1 中獲得初次修正。

其他相關資訊

這項弱點僅對 Microsoft Windows 2000 電腦上的 Windows Media Player 7.1 造成影響。所有平台上的 Windows Media Player 6.4、Microsoft Windows XP 的 Windows Media Player 及 Windows 98 和 Microsoft Windows Millennium Edition (Me) 上的 Windows Media player 7.1 都不受這個問題影響。當使用者在主控台上登入電腦,這項弱點即有可能遭到利用;但是終端機的工作階段不受這項弱點影響,使用者還必須在電腦中引入一個敵意程式,因此,用戶端電腦受這項弱點影響的可能性遠高於伺服器 (例如 Microsoft SQL 或 Microsoft Exchange 伺服器),這是因為這些程式一般都會限制互動式登入為系統管理員。最後,用戶端電腦對使用者引入並執行程式碼的任何限制 (例如透過群組原則、軟體限制原則及實際的安全性機制),都會大幅減輕暴露於這項弱點的機率。

當使用者操作由安全性內容授權執行的 NT\DosDevices 物件資料夾,就會發生這一類的弱點。

屬性

文章編號: 321677 - 上次校閱: 2004年4月30日 - 版次: 2.2
這篇文章中的資訊適用於:
  • Microsoft Windows XP Professional Edition (商用版)
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows Media Player 7.1?應用於:
    • Microsoft Windows 2000 Standard Edition
關鍵字:?
kbbug kbenv kbfix kbmm kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwinxpsp1fix KB321677
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com