安全公告
Microsoft 安全公告 MS13-094 - 重要
Microsoft Outlook 中的漏洞可能允许信息泄露(2894514)
发布时间: 2013 年 11 月 12 日
版本: 1.0
常规信息
执行摘要
此安全更新解决了 Microsoft Outlook 中公开披露的漏洞。 如果用户使用受影响的 Microsoft Outlook 版本打开或预览特制的电子邮件,该漏洞可能会允许信息泄露。 成功利用此漏洞的攻击者可以从目标系统和与目标系统共享网络的其他系统确定系统信息,例如 IP 地址和打开 TCP 端口。
对于 Microsoft Outlook 2007、Microsoft Outlook 2010、Microsoft Outlook 2013 和 Microsoft Outlook 2013 RT 的所有受支持版本,此安全更新都被评为“重要”。 有关详细信息,请参阅本节中的小节“ 受影响的和非受影响的软件”。
安全更新通过更正 Microsoft Outlook 分析特制 S/MIME 电子邮件的方式来解决漏洞。 有关漏洞的详细信息,请参阅下一部分 “漏洞信息”下特定漏洞条目的常见问题解答(常见问题解答)子部分。
建议。 客户可以使用 Microsoft 更新服务将自动更新配置为联机检查更新。 启用了自动更新并配置为联机检查 Microsoft 更新的客户通常无需采取任何操作,因为将自动下载并安装此安全更新。 未启用自动更新的客户需要从 Microsoft 更新检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871。
对于管理员和企业安装,或想要手动安装此安全更新的最终用户,Microsoft 建议客户尽早使用更新管理软件应用更新,或者检查使用 Microsoft 更新服务进行更新。
另请参阅本公告后面的“检测和部署工具和指南”部分。
知识库文章
| 知识库文章 | 2894514 |
|---|---|
| 文件信息 | 是 |
| SHA1/SHA2 哈希 | 是 |
| 已知问题 | 是 |
受影响的和非受影响的软件
以下软件已经过测试,以确定受影响的版本。 其他版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期。
受影响的软件
| Microsoft 办公室软件 | 组件 | 最大安全影响 | 聚合严重性分级 | 已替换汇报 |
|---|---|---|---|---|
| Microsoft Office 2007 | ||||
| Microsoft 办公室 2007 Service Pack 3 | Microsoft Outlook 2007 Service Pack 3 (2825644) | 信息泄露 | 重要 | MS13-068 中的 2825999 |
| Microsoft Office 2010 | ||||
| Microsoft 办公室 2010 Service Pack 1 (32 位版本) | Microsoft Outlook 2010 Service Pack 1 (32 位版本) (2837597) | 信息泄露 | 重要 | MS13-068 中的 2794707 |
| Microsoft 办公室 2010 Service Pack 2 (32 位版本) | Microsoft Outlook 2010 Service Pack 2 (32 位版本) (2837597) | 信息泄露 | 重要 | MS13-068 中的 2794707 |
| Microsoft 办公室 2010 Service Pack 1 (64 位版本) | Microsoft Outlook 2010 Service Pack 1 (64 位版本) (2837597) | 信息泄露 | 重要 | MS13-068 中的 2794707 |
| Microsoft 办公室 2010 Service Pack 2 (64 位版本) | Microsoft Outlook 2010 Service Pack 2 (64 位版本) (2837597) | 信息泄露 | 重要 | MS13-068 中的 2794707 |
| Microsoft Office 2013 | ||||
| Microsoft 办公室 2013 (32 位版本) | Microsoft Outlook 2013 (32 位版本) (2837618) | 信息泄露 | 重要 | 无 |
| Microsoft 办公室 2013 (64 位版本) | Microsoft Outlook 2013 (64 位版本) (2837618) | 信息泄露 | 重要 | 无 |
| Microsoft 办公室 2013 RT | ||||
| Microsoft 办公室 2013 RT | Microsoft Outlook 2013 RT[1] (2837618) | 信息泄露 | 重要 | 无 |
[1]此更新通过Windows 更新提供。
受影响的软件
| 办公室和其他软件 |
|---|
| Microsoft Outlook 2003 Service Pack 3 |
更新常见问题解答
此更新是否包含与安全相关的功能更改?
是的。 除了本公告的“漏洞信息”部分中列出的更改之外,此更新还添加了通过注册表项设置指定的功能,无论 Microsoft Outlook 是否会检索颁发机构信息访问(AIA)扩展中引用的远程证书。 有关此更改的详细信息,请参阅 Microsoft 知识库文章2894514。
我正在为系统未安装的软件提供此更新。 为什么我提供此更新?
由于Microsoft 办公室更新的服务模型,系统可能提供未安装的软件的更新。 例如,即使未安装特定的办公室产品,也可以为Microsoft 办公室产品提供更新。 有关此行为和建议的操作的详细信息,请参阅 Microsoft 知识库文章830335。
我使用的是此安全公告中讨论的软件的较旧版本。 应采取何种操作?
此公告中列出的受影响的软件已经过测试,以确定哪些版本受到影响。 其他版本已超过其支持生命周期。 有关产品生命周期的详细信息,请参阅Microsoft 支持部门生命周期网站。
对于具有较旧版本的软件的客户来说,这应该是一个优先事项,可以迁移到受支持的版本,以防止潜在的漏洞暴露。 若要确定软件版本的支持生命周期,请参阅 “选择产品生命周期信息”。 有关这些软件版本的 Service Pack 的详细信息,请参阅 Service Pack 生命周期支持策略。
需要旧版软件自定义支持的客户必须联系其 Microsoft 帐户团队代表、其技术客户经理或相应的 Microsoft 合作伙伴代表以获取自定义支持选项。 没有联盟、顶级或授权合同的客户可以与其当地的 Microsoft 销售办公室联系。 有关联系信息,请参阅 Microsoft 全球信息网站,在“联系信息”列表中选择国家/地区,然后单击“转到”以查看电话号码列表。 呼叫时,请与当地顶级支持销售经理交谈。 有关详细信息,请参阅Microsoft 支持部门生命周期策略常见问题解答。
漏洞信息
严重性分级和漏洞标识符
以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布 30 天内漏洞的可利用性及其严重性评级和安全影响的信息,请参阅 11 月公告摘要中的 Exploitability Index。 有关详细信息,请参阅 Microsoft Exploitability Index。
| 受影响的软件 | S/MIME AIA 漏洞 - CVE-2013-3905 | 聚合严重性分级 |
|---|---|---|
| Microsoft Office 2007 | ||
| Microsoft Outlook 2007 Service Pack 3 | 重要信息 披露 | 重要说明 |
| Microsoft Office 2010 | ||
| Microsoft Outlook 2010 Service Pack 1 (32 位版本) | 重要信息 披露 | 重要说明 |
| Microsoft Outlook 2010 Service Pack 2 (32 位版本) | 重要信息 披露 | 重要说明 |
| Microsoft Outlook 2010 Service Pack 1 (64 位版本) | 重要信息 披露 | 重要说明 |
| Microsoft Outlook 2010 Service Pack 2 (64 位版本) | 重要信息 披露 | 重要说明 |
| Microsoft Office 2013 | ||
| Microsoft Outlook 2013 (32 位版本) | 重要信息 披露 | 重要说明 |
| Microsoft Outlook 2013 (64 位版本) | 重要信息 披露 | 重要说明 |
| Microsoft 办公室 2013 RT | ||
| Microsoft Outlook 2013 RT | 重要信息 披露 | 重要说明 |
S/MIME AIA 漏洞 - CVE-2013-3905
如果 Microsoft Outlook 无法正确处理 S/MIME 证书元数据的扩展,则存在信息泄露漏洞。 成功利用此漏洞的攻击者可以从目标系统和与目标系统共享网络的其他系统确定系统信息,例如 IP 地址和打开 TCP 端口。
若要将此漏洞视为常见漏洞和公开列表中的标准条目,请参阅 CVE-2013-3905。
缓解因素
Microsoft 尚未识别此漏洞的任何缓解因素。
解决方法
解决方法是指未更正基础漏洞的设置或配置更改,但有助于在应用更新之前阻止已知的攻击途径。 Microsoft 在讨论解决方法是否减少功能时测试了以下解决方法和状态:
在 Outlook 中禁用阅读窗格
禁用阅读窗格可防止在 Outlook 中处理恶意 S/MIME 证书。 虽然这会阻止在 Outlook 中处理恶意证书,但它不会阻止经过身份验证的本地用户运行专门制作的程序来利用此漏洞。 打开受影响的电子邮件仍可能导致加载和处理恶意证书。
若要在 Outlook 2007 中禁用阅读窗格,请参阅 打开或关闭阅读窗格。
若要在 Outlook 2010 中禁用阅读窗格,请参阅 “打开或关闭阅读窗格”。
若要在 Outlook 2013 中禁用阅读窗格,请参阅 “打开或关闭阅读窗格”。
常见问题解答
漏洞的范围是什么?
这是信息泄露漏洞。
导致漏洞的原因是什么?
当 Microsoft Outlook 无法正确处理 S/MIME 证书元数据的扩展时,会导致该漏洞,从而允许披露系统信息。
什么是 S/MIME?
S/MIME 代表安全/多用途 Internet 邮件扩展。 S/MIME 提供一致的方法来安全地发送和接收 MIME 编码数据。 根据常用的 Internet MIME 标准,S/MIME 为电子消息应用程序提供以下加密安全服务:身份验证、消息完整性和非否认来源(使用数字签名),以及隐私和数据安全(使用加密)。 有关详细信息,请参阅 了解 S/MIME。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以从目标系统和与目标系统共享网络的其他系统确定系统信息,例如 IP 地址和打开 TCP 端口
攻击者如何利用漏洞?
在电子邮件攻击方案中,攻击者可以通过在向用户的电子邮件中发送特制 S/MIME 证书,然后说服用户预览或打开电子邮件来利用漏洞。
利用此漏洞需要用户使用受影响的 Microsoft Outlook 版本打开或预览特制的电子邮件。
哪些系统主要面临漏洞的风险?
使用 Microsoft Outlook 的工作站和终端服务器等系统主要面临风险。 如果管理员允许用户登录到服务器并运行程序,则服务器可能会面临更大的风险。 但是,最佳做法强烈建议不要允许这样做。
更新的作用是什么?
此更新通过更正 Microsoft Outlook 在电子邮件中专门制作的 S/MIME 证书的方式来解决漏洞。
发布此安全公告后,是否已公开披露此漏洞?
是的。 此漏洞已公开披露。 它已分配了常见漏洞和公开号码 CVE-2013-3905。
发布此安全公告后,Microsoft 是否收到了有关此漏洞被利用的任何报告?
否。 当最初发布此安全公告时,Microsoft 未收到任何信息,表明此漏洞已公开用于攻击客户。
更新信息
检测和部署工具和指南
多个资源可用于帮助管理员部署安全更新。
- Microsoft 基线安全分析器(MBSA)允许管理员扫描本地和远程系统,以查找缺少安全更新和常见安全配置错误。
- Windows Server Update Services (WSUS)、系统管理服务器(SMS)和 System Center Configuration Manager 可帮助管理员分发安全更新。
- 应用程序兼容性工具包随附的更新兼容性计算器组件有助于简化针对已安装应用程序的 Windows 更新测试和验证。
有关跨网络部署安全更新的这些工具和指南的详细信息,请参阅 适用于 IT 专业人员的安全工具。
安全更新部署
受影响的软件
有关受影响软件的特定安全更新的信息,请单击相应的链接:
Microsoft Outlook 2007 (所有版本)
引用表
下表包含此软件的安全更新信息。
| 安全更新文件名 | 对于 Microsoft Outlook 2007:\ outlook2007-kb2825644-fullfile-x86-glb.exe |
|---|---|
| 安装开关 | 请参阅 Microsoft 知识库文章912203 |
| 重启要求 | 在某些情况下,此更新不需要重启。 如果使用所需的文件,此更新需要重启。 如果发生此行为,将显示一条消息,建议重启。\ \ 为了帮助减少需要重启的可能性,请停止所有受影响的服务,并在安装安全更新之前关闭可能使用受影响文件的所有应用程序。 有关系统提示重启的原因的详细信息,请参阅 Microsoft 知识库文章887012。 |
| 删除信息 | 在控制面板中使用“添加或删除程序”项。 |
| 文件信息 | 请参阅 Microsoft 知识库文章2825644 |
| 注册表项验证 | 不适用 |
Microsoft Outlook 2010 (所有版本)
引用表
下表包含此软件的安全更新信息。
| 安全更新文件名 | 对于 Microsoft Outlook 2010 (32 位版本):\ outlook2010-kb2837597-fullfile-x86-glb.exe |
|---|---|
| 对于 Microsoft Outlook 2010(64 位版本):\ outlook2010-kb2837597-fullfile-x64-glb.exe | |
| 安装开关 | 请参阅 Microsoft 知识库文章912203 |
| 重启要求 | 在某些情况下,此更新不需要重启。 如果使用所需的文件,此更新需要重启。 如果发生此行为,将显示一条消息,建议重启。\ \ 为了帮助减少需要重启的可能性,请停止所有受影响的服务,并在安装安全更新之前关闭可能使用受影响文件的所有应用程序。 有关系统提示重启的原因的详细信息,请参阅 Microsoft 知识库文章887012。 |
| 删除信息 | 在控制面板中使用“添加或删除程序”项。 |
| 文件信息 | 请参阅 Microsoft 知识库文章2837597 |
| 注册表项验证 | 不适用 |
Microsoft Outlook 2013 (所有版本)
引用表
下表包含此软件的安全更新信息。
| 安全更新文件名 | 对于 Microsoft Outlook 2013(32 位版本):\ outlookloc2013-kb2837618-fullfile-x86-glb.exe |
|---|---|
| 对于 Microsoft Outlook 2013(64 位版本):\ outlookloc2013-kb2837618-fullfile-x64-glb.exe | |
| 安装开关 | 请参阅 Microsoft 知识库文章912203 |
| 重启要求 | 在某些情况下,此更新不需要重启。 如果使用所需的文件,此更新需要重启。 如果发生此行为,将显示一条消息,建议重启。\ \ 为了帮助减少需要重启的可能性,请停止所有受影响的服务,并在安装安全更新之前关闭可能使用受影响文件的所有应用程序。 有关系统提示重启的原因的详细信息,请参阅 Microsoft 知识库文章887012。 |
| 删除信息 | 在控制面板中使用“添加或删除程序”项。 |
| 文件信息 | 请参阅 Microsoft 知识库文章2837618 |
| 注册表项验证 | 不适用 |
Microsoft Outlook 2013 RT (所有版本)
引用表
下表包含此软件的安全更新信息。
| 部署 | Microsoft Outlook 2013 RT 的2837618更新通过Windows 更新提供。 |
|---|---|
| 重启要求 | 在某些情况下,此更新不需要重启。 如果使用所需的文件,此更新需要重启。 如果发生此行为,将显示一条消息,建议重启。\ \ 为了帮助减少需要重启的可能性,请停止所有受影响的服务,并在安装安全更新之前关闭可能使用受影响文件的所有应用程序。 有关系统提示重启的原因的详细信息,请参阅 Microsoft 知识库文章887012。 |
| 删除信息 | 单击控制面板,单击“系统和安全”,单击“Windows 更新”,然后在“查看”下单击“已安装的更新”,然后从更新列表中选择。 |
| 文件信息 | 请参阅 Microsoft 知识库文章2837618 |
其他信息
致谢
Microsoft 感谢 以下部门与我们合作,帮助保护客户:
- n.runs 专业人员 GmbH 的亚历山大 Klink 报告 S/MIME AIA 漏洞 (CVE-2013-3905)
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请转到 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出的计划合作伙伴提供的活动保护网站。
支持
如何获取此安全更新的帮助和支持
- 帮助安装更新: 支持 Microsoft 更新
- 面向 IT 专业人员的安全解决方案: TechNet 安全故障排除和支持
- 帮助保护运行 Windows 的计算机免受病毒和恶意软件的攻击: 病毒解决方案和安全中心
- 根据国家/地区提供本地支持: 国际支持
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2013 年 11 月 12 日):公告已发布。
生成于 2014-04-18T13:49:36Z-07:00