MS02-069:Microsoft VM 中的缺陷可能危及 Windows 的安全

文章翻译 文章翻译
文章编号: 810030
展开全部 | 关闭全部

本文内容

症状

Microsoft 虚拟机 (Microsoft VM) 是 Win32 环境下的虚拟机。Windows 的大多数版本和 Microsoft Internet Explorer 的大多数版本中都包含 Microsoft VM。

现在已推出了新版本的 Microsoft VM,其中包含以前发布的所有 Microsoft VM 修复程序以及针对八个最近报告的安全问题的修复程序。所有新问题的攻击媒介很可能是相同的。攻击者会建立一个 Web 站点,一旦用户打开此 Web 站点,便利用特定漏洞进行攻击,将攻击媒介发布在一个 Web 站点上,或者将其作为 HTML 邮件发送给用户。

最近报告的安全问题如下:
  • 一个允许不受信任的 Java 小程序访问组件对象模型 (COM) 对象的安全漏洞

    按照设计,COM 对象具有某些功能,因此应该仅允许受信任的 Java 程序访问。攻击者可能会利用某些 COM 对象提供的功能来获得系统的控制权。
  • 可以伪装由小程序的基本代码属性引用的实际位置的一对漏洞

    虽然这两个漏洞的基本原因不同,但它们可能造成的影响却是相同的。按照设计,位于用户存储或网络共享上的 Java 小程序具有对它所在的文件夹及其所有子文件夹的读取访问权限。Web 站点上的小程序可以利用这些漏洞在其基本代码属性中谎报自己的位置。即,小程序可以显示位于用户的本地系统或网络共享上,而不是显示位于其实际位置。
  • 一个允许攻击者构建 URL 的漏洞。当该 URL 被解析时,会从某个 Web 站点加载一个 Java 小程序而谎报它属于另一个 Web 站点

    此漏洞允许攻击者的小程序在其他站点的域中运行。用户提供给该小程序的任何信息都可以被中继回攻击者。
  • 一个允许小程序修改数据库内容的漏洞

    导致此漏洞的原因是 Microsoft VM 不禁止小程序调用 JDBC API(提供数据库访问方法的一组 API)。按照设计,这些 API 提供了添加、更改、删除和修改数据库内容的功能,而且只有在用户允许时才能进行这些操作。
  • 一个攻击者用以暂时禁止加载和运行指定 Java 对象的漏洞

    Standard Security Manager(一个较早版本的安全机制)允许用户对 Java 小程序进行限制,甚至完全禁止小程序的运行。但是,由于 Microsoft VM 并不充分控制对 Standard Security Manager 的访问,因此攻击者的小程序可以将其他 Java 对象添加至“禁止”列表中。
  • 一个攻击者用以获悉用户在其本地计算机上的用户名的漏洞

    导致此漏洞的原因是不受信任的小程序可以使用 user.dir 系统属性。尽管知道用户名本身不会带来安全风险,但攻击者可能会利用此信息进行窥探。
  • 由于 Java 小程序可能对另一个 Java 对象执行不完全实例化而导致的一个漏洞

    此漏洞会导致包含 Java 小程序的程序(如 Internet Explorer)失败。

解决方案

要解决此问题,请安装“810030:Microsoft VM 安全更新”软件包。此更新程序会将您的 Microsoft VM 升级到 5.00.3809 版本。早于 5.00.3809 版本的所有 Microsoft VM 版本都会受到本文“症状”部分列出的漏洞的影响。

找到更新程序

要找到此更新程序,请访问以下 Microsoft Windows Update Web 站点的“重要更新”部分:
http://update.microsoft.com
管理员可以从 Windows Update Catalog 下载此更新程序以部署到多台已安装 Microsoft VM 的计算机上。如果您需要获取此更新程序以便稍后安装到一台或多台计算机上,请使用 Windows Update 目录中的 Advanced Search Options(高级搜索选项)功能搜索本文的 ID 号。 有关如何从 Windows Update 目录中下载更新的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
323166 HOW TO:从 Windows Update 目录下载 Windows 更新和驱动程序
注意此 Microsoft VM 更新程序的 Windows 2000 版本需要 Windows 2000 SP2 或更高版本,而不能安装在其他任何操作系统中。要下载适用于 Windows 2000 的更新程序,请针对您的操作系统选择 Windows 2000 SP2 或 Windows 2000 SP3。

要下载适用于 Windows XP、Windows NT 4.0、Windows Millennium Edition (Me)、Windows 98 Second Edition 或 Windows 98 的更新程序,请针对您的操作系统选择 Windows XP、Windows Millennium Edition 或 Windows 98。

注意 基于 Windows NT 4.0 的计算机没有访问 Windows Update 目录的权限。如果必须下载 Windows NT 4.0 软件包以安装在多台计算机上或稍后安装,请使用运行 Windows 98、Windows Millennium Edition、Windows 2000、Windows XP 或 Windows Server 2003 的计算机来访问 Windows Update 目录,然后针对您的操作系统选择 Windows 98、Windows Millennium Edition 或 Windows XP。此安全更新还可以安装在 Windows NT 4.0 计算机上。如果管理员不具有访问基于 Windows XP、Windows 98、Windows Millennium Edition、Windows 2000 或 Windows Server 2003 的计算机的权限,因而无法使用 Windows Update 目录,则可以与 Microsoft 产品支持服务部门联系以获取此修补程序。有关 Microsoft 产品支持服务部门的电话号码和支持费用信息的完整列表,请访问下面的 Microsoft Web 站点:
http://support.microsoft.com/default.as px?scid=fh;EN-US;CNTACTMS

安装信息

您只可以在安装了早期版本的 Microsoft VM 的计算机上安装此更新程序。 有关如何在不重新启动计算机的情况下以静默方式安装 Microsoft VM 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
304930 如何在不重新启动计算机的情况下默认安装 Microsoft 虚拟机

文件信息

此修复程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的“时区”选项卡。
   
日期		时间	   版本          大小         文件名
--------------------------------------------------------------
20-Mar-2002	11:52                  2,678	  Classes.cer 
18-Nov-2002	14:07                  5,751,849  Classes.zip 
18-Nov-2002	14:11  5.0.3809.0      404,752    Javart.dll 
18-Nov-2002	14:09  5.0.3809.0      172,304    Jview.exe 
18-Nov-2002	14:11  5.0.3809.0      947,984    Msjava.dll 
20-Mar-2002	11:52                  2,678      Msjdbc.cer 
18-Nov-2002	14:07                  137,482    Msjdbc.zip 
29-May-2001	00:58                  10,957     Osp.zip
注意:安装了经过更新的 VM 后,所有的 .zip 文件的名称都与原来不同了。这是一种典型行为,可以忽略。还要注意,对于此发行版,只更改了 Zip 软件包中的一部分文件。但是,无法给这些文件分别打包。

状态

Microsoft 已确认,此问题可能会在 Microsoft VM 中造成某种程度的安全漏洞。

更多信息

要确定运行 Windows 98、Windows 98 Second Edition (SE) 或 Windows Millennium Edition 的计算机上的 Microsoft VM 内部版本号,请执行下列步骤:
  1. 单击“开始”,然后单击“运行”。
  2. 在“打开”框中,键入 command,然后单击“确定”。
  3. 在命令提示符下,键入 jview,然后按 Enter 键。注意,版本信息以“Version n.nn.nnnn”的格式显示在第一行,其中,最后四位数字 nnnn 是内部版本号。例如,5.00.3802 表示 Microsoft VM 内部版本 3802。
要确定运行 Windows NT 4.0、Windows 2000 或 Windows XP 的计算机上的 Microsoft VM 内部版本号,请执行下列步骤:
  1. 单击“开始”,然后单击“运行”。
  2. 在“打开”框中,键入 cmd,然后单击“确定”。
  3. 在命令提示符处键入以下命令,然后按 Enter 键:
    jview
    注意,版本信息以“Version n.nn.nnnn”的格式显示在第一行,其中,最后四位数字 nnnn 是内部版本号。例如,5.00.3802 表示 Microsoft VM 内部版本 3802。
有关此漏洞的更多信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/security/bulletin/MS02-069.asp

属性

文章编号: 810030 - 最后修改: 2012年6月27日 - 修订: 7.0
关键字:?
kbdownload kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability kbqfe KB810030
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com