MS03-011:Microsoft VM 中的瑕疵可能會讓系統受到危害

文章編號: 816093

技術更新

2003 年 7 月 17 日:更新本文,加入了有關 Windows 2000 Service Pack 4 和 Windows Server 2003 的資訊。

2003 年 11 月 10 日:更新<重新啟動需求>一節。

2004 年 4 月 23 日:更新本文,以移除有關 Windows 2000 Service Pack 4 的資訊。
全部展開 | 全部摺疊

在此頁中

徵狀

Microsoft VM 是適用於 Win32 作業環境的虛擬機器。大部分的 Windows 及 Microsoft Internet Explorer 版本中均隨附了 Microsoft VM。所回報的新安全性弱點會對 Microsoft VM 的 ByteCode Verifier 元件造成影響。之所以發生這個弱點,是因為 ByteCode Verifier 在 Java Applet 載入時無法正確地找出特定的惡意程式碼。這個新安全性問題的攻擊方式,可能是使攻擊者可以建立惡意的 Java Applet 並插入網頁中,在使用者開啟網頁時利用這個弱點。攻擊者可以將這個惡意網頁裝載在網站上,或是以電子郵件傳送給使用者。目前 Microsoft VM 已經加以更新,新增了修正程式,可以解決這個最新報告的安全性弱點。這個版本的 VM 包含了所有先前發佈的 VM 修正程式。
回此頁最上方 | 提供意見

解決方案

如果要解決這個問題,請安裝「816093 Microsoft VM 安全性更新」套件。這個更新會將 Microsoft VM 升級至 5.00.3810 版。5.00.3810 之前的 Microsoft VM 所有版本,都會受到本文<徵狀>一節中所列之弱點的影響。

下載資訊

Windows Server 2003、Windows XP、Windows NT、Windows 98、Windows ME、Small Business Server 2003 以及 Windows 2000 (除了 Windows 2000 SP2 和 SP3 之外)

如果要下載修補程式,以更新 Microsoft VM 的現有安裝,請造訪 Microsoft Windows Update 網站。Windows Update 會偵測您目前執行的 Windows 版本,並且提供適合的修補程式。如果要尋找更新,請造訪 Microsoft Windows Update 網站上的「重大更新」:
http://update.microsoft.com
(http://update.microsoft.com)

僅限 Windows 2000 SP2 和 SP3

您可以從「Microsoft 下載中心」下載下列檔案:
摺疊此圖像展開此圖像
下載
立即下載 816093 套件。
(http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=dd870eac-69ef-4287-9a07-6c740f162644)

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591
(http://support.microsoft.com/kb/119591/ )
如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。

部署資訊

網路管理員可以從 Windows Update Catalog 下載這個更新,以部署至多部已經安裝 Microsoft VM 的電腦:
http://v4.update.microsoft.com/catalog/zhtw/default.asp
(http://v4.update.microsoft.com/catalog/zhtw/default.asp)
如果您必須取得這個更新,以便稍後安裝在一或多部電腦上,請使用 Windows Update Catalog 中的進階搜尋選項搜尋本文編號。 如需有關如何從 Windows Update Catalog 下載更新的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
323166
(http://support.microsoft.com/kb/323166/ )
如何從 Windows Update Catalog 下載更新及驅動程式
注意事項
  • 如果您所執行的 Windows Server 2003、Windows XP 或 Windows 2000 SP4 沒有安裝 Microsoft VM,就無法在 Microsoft VM 上安裝這個更新。如果您嘗試在尚未安裝 Microsoft VM 的 Windows Server 2003、Windows XP 或 Windows 2000 SP4 電腦上,將這個更新安裝至 Microsoft VM,就會收到下列訊息:
    Microsoft VM
    This setup will only upgrade over an existing version of the Microsoft VM. (這個安裝程式只能在現有的 Microsoft VM 版本上進行升級)。
    如果您按一下 [確定],則會收到下列訊息:
    Microsoft VM
    The installation is complete. (安裝完成)。
    這個訊息是不正確的。如果您尚未安裝 Microsoft VM,就無法安裝 Microsoft VM。

    如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    820101
    (http://support.microsoft.com/kb/820101/ )
    Microsoft VM 和 Windows 2000 Service Pack 4 的常見問題集
    813926
    (http://support.microsoft.com/kb/813926/ )
    Windows XP SP1 與 Windows XP SP1a 之間的差異
  • 如果要為已經安裝 Microsoft VM 的 Windows Server 2003、Windows XP 或 Windows 2000 SP4 的電腦,或為執行 Windows NT 4.0、Windows Millennium Edition (Me)、Windows 98 Second Edition 或 Windows 98 的電腦,下載這個更新,請根據您的作業系統,選擇 Windows Server 2003、Windows XP、Windows 2000 SP4、Windows Millennium Edition 或 Windows 98。
  • Windows NT 4.0 電腦無法存取 Windows Update Catalog。如果您想要下載 Windows NT 4.0 套件,以便安裝在多部電腦上或稍後進行安裝,請使用執行 Windows 98、Windows Millennium Edition、Windows 2000、Windows XP 或 Windows Server 2003 的電腦存取 Windows Update Catalog,並根據您的作業系統,選擇 Windows 98、Windows Millennium Edition、Windows 2000 SP4、Windows Server 2003 或 Windows XP。這個安全性更新會套用在已安裝 Microsoft VM 的 Windows 98、Windows Millennium Edition、Windows 2000 SP4、Windows Server 2003、Windows XP 或 Windows NT 4.0 電腦上。如果系統管理員無法存取 Windows XP、Windows 98、Windows Millennium Edition、Windows 2000 或 Windows Server 2003 的電腦,請與「Microsoft 技術支援處」連絡,以取得修補程式。如需「Microsoft 技術支援處」完整的電話號碼清單,以及支援費用的相關資訊,請造訪下列 Microsoft 網站:
    http://support.microsoft.com/default.aspx?scid=fh;ZH-TW;CNTACTMS
    (http://support.microsoft.com/default.aspx?scid=fh;ZH-TW;CNTACTMS)
如需有關如何以無訊息方式安裝 Microsoft VM,並且安裝之後不需要重新啟動電腦的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
304930
(http://support.microsoft.com/kb/304930/ )
如何無訊息地安裝 Microsoft Virtual Machine 更新而不需要重新啟動電腦

先決條件

這個更新只能安裝在已安裝 Microsoft VM 先前版本的電腦上。這個 Microsoft VM 更新的 Windows 2000 SP2 和 Windows 2000 SP3 版本,需要 Windows 2000 SP2 或更新的版本,並且無法安裝在其他作業系統上。如果要從 Windows Update Catalog 下載這個更新的 Windows 2000 SP2 或 Windows 2000 SP3 版本,請根據您的作業系統,選擇 Windows 2000 SP2 或 Windows 2000 SP3。 如需有關如何取得 Windows 2000 SP2 或更新版本的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
260910
(http://support.microsoft.com/kb/260910/ )
如何取得最新版的 Windows 2000 Service Pack
如果您使用 Windows NT 4.0,則必須先安裝 Windows NT 4.0 SP3 或更新的版本,才能安裝這個更新。 如需有關如何取得最新版 Windows NT 4.0 Service Pack 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
152734
(http://support.microsoft.com/kb/152734/ )
如何取得最新的 Windows NT 4.0 Service Pack

重新啟動需求

如果您要更新 Microsoft VM 組建 3802 (含) 以前版本,在安裝這個更新之後,您必須重新啟動電腦(Microsoft VM 組建 3802 是隨附於 Windows 2000 SP2 中)。重新啟動電腦之後,必須以系統管理員的身分登入,才能完成安裝。如果您將 Java VM 更新安裝在組建 3805 至組建 3810 上,則不需要重新啟動電腦 (Microsoft VM 組建 3805 隨附於 Windows 2000 SP3 中)。

移除資訊

這個修補程式包含系統檔案及受保護的元件,因此,無法加以移除。

修補程式取代資訊

這個更新會取代下列更新:

檔案資訊

此更新的英文版具有下列表格中所列的檔案屬性 (或更新的檔案屬性)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換為當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 項目的 [時區] 索引標籤。
摺疊此表格展開此表格
日期時間版本大小檔案名稱
13-Mar-200314:512,678Classes.cer
13-Mar-200314:515,751,849Classes.zip
17-Mar-200319:055.0.3810.0404,752Javart.dll
13-Mar-200318:335.0.3810.0172,304Jview.exe
17-Mar-200319:055.0.3810.0946,960Msjava.dll
13-Mar-200314:512,678Msjdbc.cer
13-Mar-200314:51137,482Msjdbc.zip
20-Mar-200208:5310,957Osp.zip
注意 安裝更新的 VM 之後,所有的 .zip 檔案將會有不同的名稱。這是可以忽略的典型行為。此外,請注意,這個發佈版本的 Zip 套件中只有部份檔案有所變更。然而,無法個別封裝這些檔案。
回此頁最上方 | 提供意見

其他可行方案

當您評估及測試新 Microsoft VM 時,可以暫時套用一些因應措施:
  • 在企業環境中,您可以在防火牆上使用應用程式篩選器來檢查及封鎖行動程式碼。
  • 您可以使用較新的 Microsoft 電子郵件用戶端電腦,例如,執行 Microsoft Outlook 2002 或 Outlook Express 6 的電腦。根據預設,較新版本的 Outlook 可以防範電子郵件的攻擊方式。如果您使用較舊版本的 Microsoft Outlook 用戶端 (例如,執行 Outlook 98 或 2000 的用戶端),則可以安裝「Outlook 電子郵件安全性更新」來防止電子郵件的攻擊。
  • 您可以防止 Java Applets 在 Internet Explorer 網際網路區域中執行。請注意,如果您停用 Java Applets,檢查特定網頁的功能可能會受到影響。如果要停用 Java Applet:
    1. [工具] 功能表上,按一下 [網際網路選項],再按一下 [安全性] 索引標籤,然後按 [自訂層級]
    2. [設定] 方塊中,按一下 [Java 權限] 下的 [關閉 Java],再按一下 [確定],然後按一下 [確定]
回此頁最上方 | 提供意見

狀況說明

Microsoft 已確認本篇文章<適用於>一節所列之 Microsoft 產品確實有上述問題。
回此頁最上方 | 提供意見

其他相關資訊

如果要判斷 Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 電腦上的 Microsoft VM 組建編號,請執行下列步驟:
  1. 按一下 [開始],再按一下 [執行]
  2. [開啟] 方塊中,輸入 command,再按一下 [確定]
  3. 在命令提示字元中輸入 jview,然後按下 ENTER。

    版本資訊會以「版本 n.nn.nnnn」顯示在第一行,其中後面四個數字代表組建編號。例如,5.00.3802 代表 Microsoft VM 組建 3802。
如果要判斷 Windows NT 4.0、Windows 2000 或 Windows XP 電腦上的 Microsoft VM 組建編號,請執行下列步驟:
  1. 按一下 [開始],再按一下 [執行]
  2. [開啟] 方塊中,輸入 cmd,再按一下 [確定]
  3. 在命令提示字元中輸入 jview,然後按下 ENTER。

    請注意,版本資訊會以「版本 n.nn.nnnn」顯示在第一行,其中後面四個數字代表組建編號。例如,5.00.3802 代表 Microsoft VM 組建 3802。
如需有關這個弱點的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/security/bulletins/MS03-011.asp
(http://www.microsoft.com/taiwan/security/bulletins/MS03-011.asp)
回此頁最上方 | 提供意見

?考

如需有關這個修補程式如何套用至 Windows 2000 Service Pack 4 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
820101
(http://support.microsoft.com/kb/820101/ )
Microsoft VM 和 Windows 2000 Service Pack 4 的常見問題集
如需有關 Windows XP Service Pack 1 與 Windows XP Service Pack 1a 之間差異的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
813926
(http://support.microsoft.com/kb/813926/ )
Windows XP SP1 與 Windows XP SP1a 之間的差異
回此頁最上方 | 提供意見

屬性

文章編號: 816093 - 上次校閱: 2011年2月3日 - 版次: 16.4
關鍵字:?
kbdownload kbenv kbsecvulnerability kbsecbulletin kbsecurity kbqfe kbfix kbbug KB816093
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方 | 提供意見

提供意見

 
回此頁最上方回此頁最上方