MS03-008:Windows 指令碼引擎中的瑕疵可能會允許程式碼執行

文章翻譯 文章翻譯
文章編號: 814078 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

攻擊者可能會建構一個網頁,藉此利用 Windows 指令碼引擎中的弱點,並在使用者造訪所建構的網頁時,利用使用者的認證執行所選擇的程式碼。攻擊者可以主控網站上的網頁或透過電子郵件直接將頁面傳送給使用者。

發生的原因

之所以發生這個問題,是因為 Windows 指令碼引擎中的瑕疵阻礙 JScript 處理資訊。

解決方案

Windows XP Service Pack 資訊

如果要解決這個問題,請取得 Windows XP 的最新版 Service Pack。如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322389 如何取得最新版 Windows XP Service Pack

更新資訊

您可以安裝更新來解決這個問題。您必須安裝對應至所執行之作業系統版本,以及對應至目前已安裝之 JScript 版本的更新。如果要判斷已安裝的 JScript 版本,請依照下列步驟執行:
  1. 按一下 [開始],按一下 [執行],輸入 %windir%\system32,然後按一下 [確定]

    注意 在 Microsoft Windows 98 安裝中,請輸入 %windir%\system,然後按一下 [確定]
  2. [system32] 視窗或 [System] 視窗 (如果您執行 Windows 98) 中,找出 Jscript.dll 檔案。
  3. 用滑鼠右鍵按一下 Jscript.dll 檔案,然後按一下 [內容]
  4. 按一下 [版本] 索引標籤。

    檔案版本會顯示在 [版本] 索引標籤上的第一行資訊中。
判斷出所安裝的 JScript 版本之後,請按一下您作業系統版本的特定下載連結。然後,檢閱下載頁面上的<說明>一節,以取得有關您必須安裝的 JScript 安全性更新版本的資訊。

您可以從「Microsoft 下載中心」下載下列檔案:
Windows XP 和 Windows 2000
摺疊此圖像展開此圖像
下載
立即下載 814078 套件
Windows NT 4.0 和 Windows NT 4.0 Terminal Server Edition
摺疊此圖像展開此圖像
下載
立即下載 814078 套件
Windows Millennium Edition
摺疊此圖像展開此圖像
下載
立即下載 814078 套件
Windows 98 Second Edition 和 Windows 98
摺疊此圖像展開此圖像
下載
立即下載 814078 套件
發行日期:2003 年 3 月 19 日

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。

先決條件

摺疊此表格展開此表格
作業系統最低需求
Windows XPWindows XP 或 Windows XP Service Pack 1 (SP1)
Windows 2000Windows 2000 SP2 或 SP3
Windows NT 4.0 Terminal Server EditionWindows NT 4.0 TSE SP6
Windows NT 4.0Windows NT 4.0 SP6a
Windows Millennium EditionWindows Millennium Edition
Windows 98 Second EditionWindows 98 Second Edition
Windows 98Windows 98
如需有關如何取得最新版 Windows XP Service Pack 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322389 如何取得最新版 Windows XP Service Pack
如需有關如何取得最新版 Windows 2000 Service Pack 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
260910 如何取得最新版的 Windows 2000 Service Pack

如需有關如何取得最新版 Windows NT 4.0 Service Pack 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
152734 如何取得最新的 Windows NT 4.0 Service Pack

安裝資訊

這個更新支援下列安裝參數。
摺疊此表格展開此表格
參數描述
/?顯示安裝參數清單。
/q使用安靜模式 (不需使用者操作)。
/t:full_path暫時工作資料夾。
/c 只解壓縮。同時使用 /t
/c:cmd覆寫作者定義的安裝命令。
/r控制或強制重新開機(請參閱下列範例)。
例如,下列命令列會以幾乎不需要使用者操作的方式安裝更新,而且不會避免電腦重新啟動:
js56nen /q /r:n
如果要在幾乎不需要使用者操作且電腦以無訊息方式 (而不提示使用者) 重新啟動的情況下安裝更新:
js56nen /q /r:s
注意 更新的檔案將不會完全安裝。因此,在電腦重新啟動之前,安全性漏洞還是一直存在。 如需有關命令列參數的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
197147 IExpress 軟體更新套件的命令列參數

移除資訊

JScript 屬於系統檔案,也是受到保護的元件,因此,無法加以移除。

重新啟動需求

套用這個更新之後,您必須重新啟動電腦。

Hotfix 取代資訊

這個更新不會取代任何其他的更新。

檔案資訊

此 Hotfix 的英文版具有下表中所列的檔案屬性 (或更新的檔案屬性)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換為當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。

視安裝的 JScript 版本 (5.1、5.5 或 5.6) 而定,下列其中一個檔案會存在於 %WINDIR%\System32 資料夾中。
摺疊此表格展開此表格
日期時間版本大小檔案名稱
13-Jan-200320:575.6.0.8513589,881Jscript.dll
13-Jan-200318:535.5.0.8513553,020Jscript.dll
14-Jan-200314:585.1.0.8513487,481Jscript.dll

狀況說明

Microsoft 已確認這個問題可能會對<適用於>一節所列之 Microsoft 產品造成一定程度的安全性弱點。

Windows XP

這個問題最早是在 Microsoft Windows XP Service Pack 2 中獲得修正。

其他相關資訊

如需有關這個弱點的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/security/bulletins/MS03-008.asp
如需有關 JScript 的詳細資訊,請造訪下列 Microsoft 網站:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/script56/html/0441e1e5-34e4-4d32-b188-f7fc35613478.asp

屬性

文章編號: 814078 - 上次校閱: 2007年4月30日 - 版次: 16.3
這篇文章中的資訊適用於:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
關鍵字:?
atdownload kbwinxpsp2fix kbenv kbwin2000presp4fix kbsecvulnerability kbsecbulletin kbsecurity kbwinxppresp2fix kbfix kbbug KB814078
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com