MS02-069:Microsoft VM 的缺點可能會危害 Windows

文章編號: 810030
全部展開 | 全部摺疊

在此頁中

徵狀

Microsoft 虛擬機器 (Microsoft VM) 屬於 Win32 環境的虛擬機器。大部份版本的 Windows 和 Microsoft Internet Explorer 都會隨附 Microsoft VM。

新版的 Microsoft VM 已包含先前發行的所有 Microsoft VM 修正程式,同時也已修正 8 個最新報告的安全性問題。 所有新問題的攻擊媒介,大致相同。只要開啟駭客建立會利用特殊弱點的網站,駭客便可在網站發佈攻擊媒介,或是透過 HTML 郵件訊息,將攻擊媒介傳送給使用者。

以下為新報告的安全性問題:
  • 不受信任的 Java 小程式可以透過其存取「元件物件模型」(COM) 物件的安全性弱點

    COM 物件因其設計的原理,所以會顯示功能,因此唯有受信任的 Java 程式才可以使用 COM 物件。駭客可能透過某些 COM 物件提供的功能,控制系統。
  • 可以隱藏 Applet codebase 屬性參照實際位置的一組弱點

    雖然每一個弱點的根本原因不同,但是兩者都會產生相同的作用。根據設計,使用者儲存空間或網路共用中上常駐的 Java 小程式,可以存取其常駐位置的資料夾與其下的所有資料夾。這些弱點所提供的方法,可以讓網站上的小程式,在 Codebase 屬性中顯現錯誤的位置。 換言之,小程式看似常駐在使用者的本機系統或網路共用上,而非實際位置。
  • 可以讓駭客建構 URL,具在剖析該 URL 時,會誤認為是從某個網站下載的 Java 小程式,其實是從另一個網站下載的弱點

    這個弱點可讓駭客的小程式在其他站台的網域中執行。使用者提供給這個小程式的所有資訊,都會轉傳給駭客。
  • 可以讓小程式修改資料庫內容的弱點

    Microsoft VM 不禁止小程式呼叫 JDBC API (可以提供資料庫存取方法的 API 集) 而發生的弱點。根據設計,這些 API 可以提供新增、變更、刪除及修改資料庫內容等功能,而且只受限於使用者權限。
  • 可以讓駭客暫時禁止載入與執行特定 Java 物件的弱點

    舊版安全性機制「標準安全性管理員」,允許使用者強制限制 Java 小程式,其中包含完全禁止執行小程式。Microsoft VM 並未完全控制存取「標準安全性管理員」,因此駭客的小程式可以將其他 Java 物件加入「禁止的會員」清單。
  • 可讓駭客得知使用者本機電腦上使用者名稱的弱點

    導致這個弱點的原因是由於不受信任的小程式可以使用 user.dir 系統內容。雖然知道使用者名稱本身並不會構成安全性風險,但是駭客仍可能會將這項資訊作為其他用途。
  • 因為 Java 小程式可能執行另一個 Java 物件的不完整例項所造成的弱點

    其會導致包含的程式 (Internet Explorer) 失敗。
回此頁最上方 | 提供意見

解決方案

如果要解決這個問題,請安裝「810030:Microsoft VM Security Update」套件。 這個更新程式會將 Microsoft VM 升級至 5.00.3809 版。5.00.3809 之前的所有版本的 Microsoft VM,都會受到這個弱點影響,請參閱本文〈徵狀〉一節中的資訊。

尋找更新程式

如果要尋找更新程式,請造訪下列 Microsoft Windows Update 網站的〈重大更新〉:
http://update.microsoft.com
(http://update.microsoft.com)
系統管理員可以從 Windows Update 類別目錄
(http://v4.update.microsoft.com/catalog)
下載這個更新程式,以部署多部已經安裝 Microsoft VM 的電腦。如果您想先取得此更新程式,並於稍後再安裝到一部或多部電腦上,請利用「Windows Update 類別目錄」中的 [進階搜尋選項],搜尋此文件編號。 如需有關如何從「Windows Update 類別目錄」下載更新程式的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
323166
(http://support.microsoft.com/kb/323166/ZH-TW/ )
HOW TO:從 Windows Update 類別目錄下載 Windows 更新程式
注意 這個 Microsoft VM 更新程式的 Windows 2000 版本需要 Windows 2000 Service Pack 2 或更新版本,而且無法安裝在其他任何作業系統上。如果要下載這個更新程式的 Windows 2000 版本,請依據您使用的作業系統來選擇 Windows 2000 SP2 或 Windows 2000 SP3。

如果要下載這個更新程式的 Windows XP、Windows NT 4.0、Windows Millennium Edition (Me)、Windows 98 Second Edition 或 Windows 98 版本,請依據您使用的作業系統來選擇 Windows XP、Windows Millennium Edition 或 Windows 98。

注意Windows NT 4.0 電腦無法存取 Windows Update 類別目錄。如果您必須下載 Windows NT 4.0 套件並且安裝 (或於稍後安裝) 在多部電腦上,請使用執行 Windows 98、Windows Millennium Edition、Windows 2000、Windows XP 或 Windows Server 2003 的電腦存取「Windows Update 類別目錄」,並根據您使用的作業系統,選擇 Windows 98、Windows Millennium Edition 或 Windows XP。這個安全性更新程式也設計為可在 Windows NT 4.0 電腦上安裝。如果系統管理員無法存取 Windows XP、Windows 98、Windows Millennium Edition、Windows 2000 或 Windows Server 2003 電腦,而無法使用「Windows Update 類別目錄」,可以聯絡 Microsoft 技術支援部,以取得補充程式。如需「Microsoft 技術支援處」完整的電話號碼清單和支援費用的相關資訊,請造訪下列 Microsoft 網站:
http://support.microsoft.com/default.as px?scid=fh;ZH-TW;CNTACTMS
(http://support.microsoft.com/default.aspx?scid=fh;ZH-TW;CNTACTMS)

安裝資訊

您可以將這個更新程式只安裝在已安裝舊版 Microsoft VM 的電腦上。 如需有關如何以無訊息模式安裝 Microsoft VM,而不必重新啟動電腦的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
304930
(http://support.microsoft.com/kb/304930/ZH-TW/ )
How to Install the Microsoft Virtual Machine Silently Without Restarting Your Computer

檔案資訊

此修正程式的英文版具有下列表格中所列之檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,其會轉換為當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。
摺疊此表格展開此表格
日期時間版本大小檔名
20-Mar-200211:522,678Classes.cer
18-Nov-200214:075,751,849Classes.zip
18-Nov-200214:115.0.3809.0404,752Javart.dll
18-Nov-200214:095.0.3809.0172,304Jview.exe
18-Nov-200214:115.0.3809.0947,984Msjava.dll
20-Mar-200211:522,678Msjdbc.cer
18-Nov-200214:07137,482Msjdbc.zip
29-May-200100:5810,957Osp.zip
注意 安裝更新的 VM 後,所有的 .zip 檔案都會有不同的名稱。這是可以忽略的典型行為。另外請注意,這個發佈版本的 Zip 套件中,只有部份檔案有所變更。然而,無法個別封裝這些檔案。
回此頁最上方 | 提供意見

狀況說明

Microsoft 已確認這項問題將在 Microsoft VM 中造成一定程度的安全性弱點。
回此頁最上方 | 提供意見

其他相關資訊

如果要判斷執行 Windows 98、Windows 98 Second Edition (SE) 或 Windows Millennium Edition 的電腦上的 Microsoft VM 組建編號,請執行以下步驟:
  1. 按一下 [開始],再按一下 [執行]
  2. [開啟] 方塊中,輸入 command,再按一下 [確定]
  3. 在命令提示處輸入 jview,再按 ENTER。 請注意,第一行會顯現版本資訊「Version n.nn.nnnn」,其中最後 4 個 nnnn 數字是組建編號。例如,5.00.3802 代表 Microsoft VM 組建 3802。
如果要判斷執行 Windows NT 4.0、Windows 2000 或 Windows XP 的電腦上的 Microsoft VM 組建編號,請按下列步驟執行:
  1. 按一下 [開始],再按一下 [執行]
  2. [開啟] 方塊中,輸入 cmd,再按一下 [確定]
  3. 在命令提示字元鍵入下列命令後再按下 ENTER:
    jview
    請注意,第一行會顯現版本資訊「Version n.nn.nnnn」,其中最後 4 個 nnnn 數字是組建編號。例如,5.00.3802 代表 Microsoft VM 組建 3802。
如需有關這項弱點的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/security/bulletins/MS02-069.asp
(http://www.microsoft.com/taiwan/security/bulletins/MS02-069.asp)
回此頁最上方 | 提供意見

屬性

文章編號: 810030 - 上次校閱: 2011年2月3日 - 版次: 6.7
關鍵字:?
kbdownload kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability kbqfe KB810030
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方 | 提供意見

提供意見

 
回此頁最上方回此頁最上方