MS01-013:Windows 2000 事件檢視器含有未經檢查的緩衝區

本文曾發行於 CHT285156
本文已封存。本文係以「現狀」提供且不會再更新。
徵狀
Windows 2000 事件檢視器嵌入式管理單元,在其程式碼顯示事件記錄詳細檢視的區段中含有未經檢查的緩衝區。若「事件檢視器」試圖顯示欄位中含有格式錯誤資料的事件記錄,可能會發生兩種後果。症狀輕微者事件檢視器停止作用;嚴重者會被惡意的使用者程式使用緩衝區滿溢來執行入侵。

未具權限的處理序可將事件記錄在「系統與應用程式」記錄檔中,在以互動方式登入後,未具權限的使用者亦可檢視這些記錄,這是設計之初即已納入的特性。但是只有具有權限的處理序可將事件記錄到「安全性」記錄檔,也只有以互動方式登入的系統管理者可以檢視這些記錄。但若這個弱點被蓄意破壞的使用者利用來執行其程式,此程式便會在檢視受影響記錄的使用者之安全性環境下執行。

減少因素

  • 只檢查記錄檔中的事件列表,即可讓此弱點不被利用。只要使用者不開啟受影響的記錄來檢視事件詳細資料,蓄意破壞的使用者便無機可乘。
  • 雖然「事件檢視器」可能被視為一種系統管理工具,但並不保證開啟特定事件記錄的使用者便具有權限。未具權限的使用者亦可讀取「系統與應用程式」記錄檔。雖然只有具權限的使用者才能讀取「安全性」記錄檔,但也只有具權限的處理序能夠寫入此記錄檔。
  • Microsoft 相信沒有任何方式可以操縱 Windows 2000 服務的典型稽核功能,以建立可利用此種弱點的事件記錄。要建立此種記錄,只能利用自訂的程式碼。
  • 若您使用了防火牆及其他適當的預防措施,便只有通過認證的使用者才能夠存取網路電腦以及寫入事件記錄檔記錄。
解決方案
您現在可以從 Microsoft 取得支援的修正程式,但此修正程式只適用於有遭受攻擊之虞的系統。請評估您電腦的實際存取情況、網路與 Internet 連線及其他因素,來判斷您電腦的危險等級。您可以參閱相關的 Microsoft Security Bulletin 來協助判斷。此修正程式將來還會執行其他測試,進一步確保產品的品質。若您的電腦已面臨立即的危險,可以立即套用此修正程式,否則建議您等候下一版含有此修正程式的 Windows 2000 Service Pack。

如果要立刻解決這個問題,請與「Microsoft 產品支援服務」連絡,以取得此修正程式。如需「Microsoft 產品支援服務」部門的電話及收費標準的完整清單,請至下列全球資訊網網址查詢:

注意:在某些特殊情況下,若 Microsoft 支援人員認為特定的更新程式即可解決您的問題,就不會收取電話支援費用。若有其他支援問題是特定更新程式無法解決的,才會收取正常的支援費用。

以下檔案可從 Microsoft Download Center 取得。
如需如何下載 Microsoft 支援檔案的詳細資訊,請按一下下列文件編號,檢視 Microsoft Knowledge Base 中的下列文件:
119591 How to Obtain Microsoft Support Files fromOnline Services
Microsoft 已使用發佈日期時可用的最新病毒偵測軟體來掃描過這個檔案,以防病毒感染。一旦公佈後,檔案會放在安全的伺服器上,絕不讓他人有非法變更檔案的機會。

此修正程式的英文版應該具有以下 (或更新) 的檔案屬性:
   日期           時間   版本                 大小     檔名   ----------------------------------------------------------------------------   30-Jul-2001  14:57  5.0.2195.3649     157,456  Els.dll

狀況說明
Microsoft 已確認這個問題可能對 Microsoft Windows 2000 造成某種程度的安全漏洞。
其他相關資訊
如需如何取得 Windows 2000 Datacenter Server 的 Hotfix 的詳細資訊,請按一下下列文件編號,檢視 Microsoft Knowledge Base 中的下列文件:
265173 The Datacenter Program and Windows 2000 Datacenter Server Product
如需只以一次重開機安裝多份 Hotfix 方法的詳細資訊,請按一下下列文件編號,檢視「Microsoft 知識庫」中的下列文件:
296861 使用 QChain.exe 來安裝多個快速修正程式而只需重新開機一次
如需此安全漏洞的詳細資訊,請參閱下列 Microsoft 網站:
参考
本文件是根據 Microsoft Knowledge Base 文件編號 Q285156 翻譯的。若要參考原始英文文件內容,請至以下網址:

security_patch kbWin2000srp1 Patch Available for Malformed Event Record Vulnerability
內容

文章識別碼:285156 - 最後檢閱時間:10/23/2013 15:51:10 - 修訂: 1.5

  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • kbnosurvey kbarchive kbbug kbfix kbwin2000presp3fix kbgraphxlinkcritical kbqfe kbwin2000sp3fix kbsecurity kbhotfixserver KB285156
意見反應