Microsoft 安全公告 MS09-047 - 严重

缓解是指一种设置、通用配置或者一般的最佳实践，它以默认状态存在，能够降低利用漏洞的严重性。 以下缓解因素在您遇到的情形中可能会有所帮助：

• 默认情况下，Windows Server 2003 和 Windows Server 2008 上的 Internet Explorer 在一种称为“增强安全配置”的受限模式下运行。 此模式可减轻此漏洞。 有关 Internet Explorer 增强安全配置的详细信息，请参阅此安全更新的“常见问题”部分。
• 成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
• 在基于 Web 的攻击情形中，攻击者可能拥有一个网站，并在上面放置用来利用此漏洞的网页。 另外，接受或宿主用户提供的内容或广告的网站以及受到破坏的网站可能包含可能利用此漏洞的特制内容。 但是在所有情况下，攻击者无法强制用户访问这些网站。 相反，攻击者必须说服用户访问该网站，方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。
• 恶意文件可作为电子邮件附件发送，但攻击者必须说服用户打开附件以利用此漏洞。
• Windows Media Services 是所有 Windows 平台上的可选组件，默认情况下不会安装。

变通办法是指一种设置或配置更改，它不能从根本上纠正漏洞，但有助于在应用更新之前封堵已知的攻击源。 Microsoft 已测试了以下变通方法，并在讨论中指明了变通方法是否会降低功能性：

限制对 wmvcore.dll 的访问

对于 Windows XP 所有受支持的 32 位版本：

通过命令提示符运行以下命令：

cacls %SystemRoot%\System32\wmvcore.dll /E /P everyone:N

变通办法的影响。 您将不能在 Windows 资源管理器或 Windows Media Player 中播放媒体文件。

如何撤消变通方法。

通过命令提示符运行以下命令：

cacls %SystemRoot%\System32\wmvcore.dll /E /R everyone

对于 Windows XP 的所有受支持的基于 x64 的版本：

通过命令提示符运行以下命令：

cacls %SystemRoot%\SysWOW64\wmvcore.dll /E /P everyone:N

变通办法的影响。 您将不能在 Windows 资源管理器或 Windows Media Player 中播放媒体文件。

如何撤消变通方法。

通过命令提示符运行以下命令：

cacls %SystemRoot%\SysWOW64\wmvcore.dll /E /R everyone

对于 Windows Vista 和 Windows Server 2008 的所有受支持的基于 x64 的版本：

从提升的管理员命令提示符处运行下列命令：

takeown /f %SystemRoot%\System32\wmvcore.dll
cacls %SystemRoot%\System32\wmvcore.dll /E /P everyone:N

变通办法的影响。 您将不能在 Windows 资源管理器或 Windows Media Player 中播放媒体文件。 Windows Media Player 存在一个错误。

如何撤消变通方法。

从提升的管理员命令提示符处运行下列命令：

cacls %SystemRoot%\System32\wmvcore.dll /E /R everyone

对于 Windows Vista 和 Windows Server 2008 的所有受支持的基于 x64 的版本：

从提升的管理员命令提示符处运行下列命令：

takeown /f %SystemRoot%\SysWOW64\wmvcore.dll
cacls %SystemRoot%\SysWOW64\wmvcore.dll /E /P everyone:N

变通办法的影响。您将不能在 Windows 资源管理器或 Windows Media Player 中播放媒体文件。 Windows Media Player 存在一个错误。

如何撤消变通方法。

从提升的管理员命令提示符处运行下列命令：

cacls %SystemRoot%\SysWOW64\wmvcore.dll /E /R everyone

此漏洞的影响范围有多大？  
这是一个远程执行代码漏洞。 成功利用此漏洞的攻击者可以完全远程控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

造成漏洞的原因是什么？  
负责处理 ASF 文件的 Windows 组件无法正确处理标题格式错误的特制 ASF 文件。

什么是 Windows Media Format Runtime？  
Microsoft Windows Media Format Runtime 向使用 Windows Media 内容的应用程序提供信息和工具。

什么是高级系统格式 (ASF)？  
ASF 是存储音频和视频信息的文件格式，专门设计用于通过网络（例如 Internet）运行。 它是一种可包含流音频、视频、幻灯片和同步事件的压缩格式。 ASF 支持作为持续的数据流将内容传递给您。 ASF 文件的文件扩展名可能有 ASF、WMV 或 WMA。

攻击者可能利用此漏洞执行什么操作？  
如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

攻击者如何利用此漏洞？  
利用此漏洞要求用户打开特制的 ASF 文件，或者从网站或提供 Web 内容的任何应用程序接收特制的流式内容。

受此漏洞威胁最大的系统有哪些？  
此漏洞要求用户登录并在任何基于 Windows Media Format Runtime 的应用程序中打开特制的 ASF，才会发生任何恶意操作。 因此，Windows Media Format Runtime 或 Windows Media Server 经常使用的任何系统（例如工作站或者终端服务器）受此漏洞的威胁最大。

我当前是在 Windows Server 2003 或 Windows Server 2008 上运行 Internet Explorer，这是否可以减轻此漏洞的影响？  
是。 默认情况下，Windows Server 2003 和 Windows Server 2008 上的 Internet Explorer 在一种称为“增强安全配置”的受限模式下运行。 增强安全配置是一组预先配置好的 Internet Explorer 设置，可以减小用户或管理员在服务器上下载并运行特制 Web 内容的可能性。 此缓解因素适用于未被添加到 Internet Explorer“受信任的站点”区域的网站。 另请参阅管理 Internet Explorer 增强安全配置。

此更新有什么作用？  
此更新通过修改 Windows Media Format Runtime 分析高级流格式 (ASF) 文件的方式来消除此漏洞。

发布此安全公告时，此漏洞是否已公开披露？  
否。 Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。

发布此安全公告时，Microsoft 是否收到任何有关此漏洞已被利用的报告？  
否。 在最初发布此安全公告时，Microsoft 未收到任何表明此漏洞已被公开用于攻击客户的信息，也没有看到任何发布的概念代码证明示例。

缓解是指一种设置、通用配置或者一般的最佳实践，它以默认状态存在，能够降低利用漏洞的严重性。 以下缓解因素在您遇到的情形中可能会有所帮助：

• 默认情况下，Windows Server 2003 和 Windows Server 2008 上的 Internet Explorer 在一种称为“增强安全配置”的受限模式下运行。 此模式可减轻此漏洞。 有关 Internet Explorer 增强安全配置的详细信息，请参阅此安全更新的“常见问题”部分。
• 成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
• 在基于 Web 的攻击情形中，攻击者可能拥有一个网站，并在上面放置用来利用此漏洞的网页。 另外，接受或宿主用户提供的内容或广告的网站以及受到破坏的网站可能包含可能利用此漏洞的特制内容。 但是在所有情况下，攻击者无法强制用户访问这些网站。 相反，攻击者必须说服用户访问该网站，方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。
• 恶意文件可作为电子邮件附件发送，但攻击者必须说服用户打开附件以利用此漏洞。

变通办法是指一种设置或配置更改，它不能从根本上纠正漏洞，但有助于在应用更新之前封堵已知的攻击源。 Microsoft 已测试了以下变通方法，并在讨论中指明了变通方法是否会降低功能性：

限制对 wmvcore.dll 和 mf.dll 的访问

对于 Windows XP 所有受支持的 32 位版本：

通过命令提示符运行以下命令：

cacls %SystemRoot%\System32\wmvcore.dll /E /P everyone:N

变通办法的影响。 您将不能在 Windows 资源管理器或 Windows Media Player 中播放媒体文件。

如何撤消变通方法。

通过命令提示符运行以下命令：

cacls %SystemRoot%\System32\wmvcore.dll /E /R everyone

对于 Windows XP 的所有受支持的基于 x64 的版本：

通过命令提示符运行以下命令：

cacls %SystemRoot%\SysWOW64\wmvcore.dll /E /P everyone:N

变通办法的影响。 您将不能在 Windows 资源管理器或 Windows Media Player 中播放媒体文件。

如何撤消变通方法。

通过命令提示符运行以下命令：

cacls %SystemRoot%\SysWOW64\wmvcore.dll /E /Reveryone

对于 Windows Vista 和 Windows Server 2008 的所有受支持的基于 x64 的版本：

从提升的管理员命令提示符处运行下列命令：

takeown /f %SystemRoot%\System32\wmvcore.dll
cacls %SystemRoot%\System32\wmvcore.dll /E /P everyone:N

takeown /f %SystemRoot%\System32\mf.dll
cacls %SystemRoot%\System32\mf.dll /E /P everyone:N

变通办法的影响。 您将不能在 Windows 资源管理器或 Windows Media Player 中播放媒体文件。 Windows Media Player 存在一个错误。

如何撤消变通方法。

从提升的管理员命令提示符处运行下列命令：

cacls %SystemRoot%\System32\wmvcore.dll /E /R everyone

cacls %SystemRoot%\System32\mf.dll /E /R everyone

对于 Windows Vista 和 Windows Server 2008 的所有受支持的基于 x64 的版本：

从提升的管理员命令提示符处运行下列命令：

takeown /f %SystemRoot%\SysWOW64\wmvcore.dll
cacls %SystemRoot%\SysWOW64\wmvcore.dll /E /R everyone:N

takeown /f %SystemRoot%\SysWOW64\mf.dll
cacls %SystemRoot%\SysWOW64\mf.dll /E /P everyone:N

变通办法的影响。 您将不能在 Windows 资源管理器或 Windows Media Player 中播放媒体文件。 Windows Media Player 存在一个错误。

如何撤消变通方法。

从提升的管理员命令提示符处运行下列命令：

cacls %SystemRoot%\SysWOW64\wmvcore.dll /E /R everyone

cacls %SystemRoot%\SysWOW64\mf.dll /E /R everyone

此漏洞的影响范围有多大？  
这是一个远程执行代码漏洞。 成功利用此漏洞的攻击者可以完全远程控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

造成漏洞的原因是什么？  
负责处理 MP3 文件的 Windows 组件无法正确处理特制元数据。

什么是 Windows Media Format Runtime？  
Microsoft Windows Media Format Runtime 向使用 Windows Media 内容的应用程序提供信息和工具。

什么是 MPEG-1 Audio Layer 3 (MP3)？  
MPEG-1 Audio Layer 3 是一种使用有损压缩来压缩音频新的文件格式。 有损压缩是一项数据被解压缩的方式与最初被压缩的方式不同但与其被分析和表示的方式相同的技术。 它在音频应用程序（如流媒体）中是通用的。

攻击者可能利用此漏洞执行什么操作？  
如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

攻击者如何利用此漏洞？  
利用此漏洞要求用户打开特制的 MP3 文件，或者从网站或提供 Web 内容的任何应用程序接收特制的流式内容。

受此漏洞威胁最大的系统有哪些？  
此漏洞要求用户登录并在任何基于 Windows Media Format Runtime 的应用程序中打开特制的 MP3，才会发生任何恶意操作。 因此，频繁使用 Windows Media Format Runtime 的系统（如工作站或终端服务器）受此漏洞的威胁最大。

我当前是在 Windows Server 2003 或 Windows Server 2008 上运行 Internet Explorer，这是否可以减轻此漏洞的影响？  
是。 默认情况下，Windows Server 2003 和 Windows Server 2008 上的 Internet Explorer 在一种称为“增强安全配置”的受限模式下运行。 增强安全配置是一组预先配置好的 Internet Explorer 设置，可以减小用户或管理员在服务器上下载并运行特制 Web 内容的可能性。 此缓解因素适用于未被添加到 Internet Explorer“受信任的站点”区域的网站。 另请参阅管理 Internet Explorer 增强安全配置

此更新有什么作用？  
此更新通过修改 Windows Media Format Runtime 分析 MPEG-1 Audio Layer 3 (MP3) 文件的方式来删除漏洞。

发布此安全公告时，此漏洞是否已公开披露？  
否。 Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。

发布此安全公告时，Microsoft 是否收到任何有关此漏洞已被利用的报告？  
否。 在最初发布此安全公告时，Microsoft 未收到任何表明此漏洞已被公开用于攻击客户的信息，也没有看到任何发布的概念代码证明示例。

参考表

下表包含此软件的安全更新信息。 您可以在本节的“部署信息”小节中找到更多信息。

参考表

下表包含此软件的安全更新信息。 您可以在本节的“部署信息”小节中找到更多信息。

注意 对于受支持版本 Windows XP Professional x64 Edition，此安全更新与受支持版本 Windows Server 2003 x64 Edition 的安全更新相同。

参考表

下表包含此软件的安全更新信息。 您可以在本节的“部署信息”小节中找到更多信息。

参考表

下表包含此软件的安全更新信息。 您可以在本节的“部署信息”小节中找到更多信息。

参考表

下表包含此软件的安全更新信息。 您可以在本节的“部署信息”小节中找到更多信息。