MS03-008:Windows 脚本引擎中的缺陷可使代码得以运行

文章翻译 文章翻译
文章编号: 814078 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

攻击者可能会通过构建一个网页来利用 Windows 脚本引擎中的漏洞,该网页在用户访问时会根据攻击者的选择运行具有用户凭据的代码。攻击者可以将该网页放置在网站上,或者通过电子邮件将该页直接发送给用户。

原因

发生此问题的原因是用于 JScript 的 Windows 脚本引擎处理信息的方式存在一个缺陷。

解决方案

Windows XP Service Pack 信息

要解决此问题,请获取最新的 Windows XP Service Pack。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389 如何获取最新的 Windows XP Service Pack

更新信息

要解决此问题,可以安装一个更新。必须安装与运行的操作系统版本以及当前安装的 JScript 版本对应的更新。要确定安装的 JScript 的版本,请按照下列步骤操作:
  1. 单击“开始”,单击“运行”,键入 %Windir%\system32,然后单击“确定”。

    注意:对于 Microsoft Windows 98 安装,键入 %windir%\system,然后单击“确定”。
  2. 在“system32”窗口(如果运行的是 Windows 98,则为“System”窗口)中,找到 Jscript.dll 文件。
  3. 右键单击 Jscript.dll 文件,然后单击“属性”。
  4. 单击“版本”选项卡。

    文件版本显示在“版本”选项卡上出现的第一行信息中。
确定了安装的 JScript 的版本后,单击特定于您的操作系统版本的下载链接。然后,查看下载页面上的“说明”部分,获取有关必须安装哪个版本的 JScript 安全更新的信息。

可以从 Microsoft 下载中心下载以下文件:
Windows XP 和 Windows 2000
收起这个图片展开这个图片
下载
立即下载 814078 程序包
Windows NT 4.0 和 Windows NT 4.0 终端服务器版
收起这个图片展开这个图片
下载
立即下载 814078 程序包
Windows Millennium Edition
收起这个图片展开这个图片
下载
立即下载 814078 程序包
Windows 98 Second Edition 和 Windows 98
收起这个图片展开这个图片
下载
立即下载 814078 程序包
发布日期:2003 年 3 月 19 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以帮助防止在未经授权的情况下对其进行任何更改。

先决条件

收起该表格展开该表格
操作系统最低要求
Windows XPWindows XP 或 Windows XP Service Pack 1 (SP1)
Windows 2000Windows 2000 SP2 或 SP3
Windows NT 4.0 终端服务器版Windows NT 4.0 TSE SP6
Windows NT 4.0Windows NT 4.0 SP6a
Windows Millennium EditionWindows Millennium Edition
Windows 98 Second EditionWindows 98 Second Edition
Windows 98Windows 98
有关如何获取最新的 Windows XP Service Pack 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389 如何获取最新的 Windows XP Service Pack
有关如何获取最新的 Windows 2000 Service Pack 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910 如何获取最新的 Windows 2000 Service Pack

有关如何获取最新的 Windows NT 4.0 Service Pack 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
152734 如何获取最新的 Windows NT 4.0 Service Pack

安装信息

此更新支持下列安装开关。
收起该表格展开该表格
开关说明
/?显示安装开关列表。
/q使用“安静”模式(无用户交互)。
/t: 完整路径临时工作文件夹。
/c 只进行提取。与 /t 一起使用。
/c: cmd覆盖作者定义的安装命令。
/r控制或强制计算机重新启动。(请参见以下示例。)
例如,要在安装此更新时不需要用户干预并且不阻止计算机重新启动,请使用下面的命令行:
js56nen /q /r:n
要在安装此更新时不需要用户干预并且不提示用户就直接重新启动计算机,请使用:
js56nen /q /r:s
注意:更新的文件不会完整安装。因此,在计算机重新启动之前,安全漏洞将一直存在。 有关命令行开关的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
197147 IExpress 软件更新程序包的命令行开关

删除信息

JScript 是系统文件和受保护的组件,因此无法删除。

重新启动要求

应用此更新后,必须重新启动计算机。

修补程序替代信息

此更新不替代任何其他更新。

文件信息

此修补程序的英文版具有下表中所列的文件属性(或更新的文件属性)。这些文件的日期和时间按协调世界时 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。

根据所安装的 JScript 的版本(5.1、5.5 或 5.6),%WINDIR%\System32 文件夹中将包含下列文件之一。
日期         时间   版本           大小  文件名
 -----------------------------------------------------
13-Jan-2003  20:57  5.6.0.8513  589,881  Jscript.dll
13-Jan-2003  18:53  5.5.0.8513  553,020  Jscript.dll
14-Jan-2003  14:58  5.1.0.8513  487,481  Jscript.dll

状态

Microsoft 已经确认此问题可能导致本文“适用于”一节列出的 Microsoft 产品中存在某种程度的安全漏洞。

Windows XP

此问题最早在 Microsoft Windows XP Service Pack 2 中得到了解决。

更多信息

有关此漏洞的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/security/bulletins/MS03-008.asp
有关 JScript 的更多信息,请访问下面的 Microsoft 网站:
http://msdn2.microsoft.com/zh-cn/library/6974wx4d.aspx

属性

文章编号: 814078 - 最后修改: 2007年4月29日 - 修订: 16.3
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Terminal Server(终端服务器)
  • Microsoft Windows NT Workstation 4.0 开发员版
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 第二版
  • Microsoft Windows 98 Standard Edition
关键字:?
atdownload kbwinxpsp2fix kbenv kbwin2000presp4fix kbsecvulnerability kbsecbulletin kbsecurity kbwinxppresp2fix kbfix kbbug KB814078
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com