發佈時間: 2016 年 5 月 10 日
版本: 1.0
此安全性更新可解決 Microsoft Windows 中的弱點。 如果 Windows Media Center 開啟參考惡意代碼的特製媒體中心連結 (.mcl) 檔案,此弱點可能會允許遠端程式代碼執行。 成功惡意探索此弱點的攻擊者可能會獲得與目前使用者相同的用戶權力。 其帳戶設定為具有系統用戶權力的使用者可能比使用系統管理用戶權力的用戶影響較小。
在 Windows Vista、Windows 7 或 Windows 8.1 上安裝時,此安全性更新會針對所有支援的 Windows Media Center 版本評為重要。 如需詳細資訊,請參閱 受影響的軟體 一節。
安全性更新會修正 Windows Media Center 如何處理 .mcl 檔案中的特定資源,以解決弱點。 如需弱點的詳細資訊,請參閱 弱點資訊 一節。
如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章3150220。
下列軟體版本或版本受到影響。 未列出的版本或版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱 Microsoft 支援服務 生命週期。
針對每個受影響的軟體所指出的嚴重性評等會假設弱點的潛在最大影響。 如需有關此安全性布告欄發行 30 天內有關弱點嚴重性評等和安全性影響之惡意探索性的資訊,請參閱 5 月公告摘要中的惡意探索索引。
| 作業系統 | 元件 | Windows Media Center 遠端程式代碼執行弱點 - CVE-2016-0185 | 更新 已取代 |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 | Windows Media Center (3150220) | 重要 遠端程式代碼執行 | MS15-134 中的 3108669 |
| Windows Vista x64 Edition Service Pack 2 | Windows Media Center (3150220) | 重要 遠端程式代碼執行 | MS15-134 中的 3108669 |
| Windows 7 | |||
| Windows 7 for 32 位系統 Service Pack 1 | Windows Media Center (3150220) | 重要 遠端程式代碼執行 | MS15-134 中的 3108669 |
| Windows 7 for x64 型系統 Service Pack 1 | Windows Media Center (3150220) | 重要 遠端程式代碼執行 | MS15-134 中的 3108669 |
| Windows 8.1 | |||
| Windows 8.1 for 32 位系統 | Windows Media Center (3150220) | 重要 遠端程式代碼執行 | MS15-134 中的 3108669 |
| 適用於 x64 型系統的 Windows 8.1 | Windows Media Center (3150220) | 重要 遠端程式代碼執行 | MS15-134 中的 3108669 |
如果 Windows Media Center 開啟參考惡意代碼的特製媒體中心連結 (.mcl) 檔案,則 Windows Media Center 中存在弱點,可能會允許遠端程式代碼執行。 成功利用此弱點的攻擊者可以控制受影響的系統。 帳戶設定為在系統上擁有較少用戶權力的客戶,其影響可能會比使用系統管理用戶權力的使用者少。 工作站主要面臨此弱點的風險。
若要惡意探索弱點,則需要用戶互動。 在網頁流覽案例中,用戶必須流覽至攻擊者用來裝載惡意 .mcl 檔案的遭入侵網站。 在電子郵件攻擊案例中,攻擊者必須說服登入易受攻擊工作站的使用者按兩下電子郵件中特製的連結。 安全性更新會修正 Windows Media Center 如何處理 .mcl 檔案中的特定資源,以解決弱點。
下表包含 Common Vulnerabilities and Exposures 清單中每個弱點的標準項目連結:
| 弱點標題 | CVE 號碼 | 公開披露 | 利用 |
|---|---|---|---|
| Windows Media Center 遠端程式代碼執行弱點 | CVE-2016-0185 | No | No |
Microsoft 尚未識別此弱點的任何 緩和因素 。
下列 因應措施 可能對您的情況有所説明:
拿掉 MCL 檔案關聯
若要使用互動式方法:
注意 使用註冊表編輯器不正確可能會導致嚴重問題,而可能要求您重新安裝操作系統。 Microsoft 無法保證可以解決因不當使用登錄編輯程式所造成的問題。 請自行承擔使用登錄編輯程式的風險。 如需如何編輯登錄的資訊,請在註冊表編輯器中檢視「變更機碼和值」說明主題(Regedit.exe),或在 Regedt32.exe 中檢視「在登錄中新增和刪除資訊」和「編輯登錄數據」說明主題。
按兩下 [ 開始],按兩下 [執行],輸入 regedit,然後按兩下 [ 確定]。
展開 HKEY_CLASSES_ROOT,按兩下 。MCL,然後按兩下 [ 檔案] 選單,然後選取 [ 匯出]。
在 [ 導出登錄檔 ] 對話框中,輸入 MCL HKCR 檔案關聯登錄backup.reg ,然後按兩下 [ 儲存]。
根據預設,這會在 [我的文檔] 資料夾中建立此登錄機碼的備份。
按下Delete鍵以刪除登錄機碼。 當系統提示您刪除登錄值時,按兩下 [ 是]。
依序展開 [HKEY_CURRENT_USER]、[軟體]、[Microsoft]、[Windows]、[CurrentVersion]、[Explorer] 和 [FileExts]。
點選單擊 。MCL,然後按兩下 [ 檔案] 選單,然後選取 [ 匯出]。
在 [ 匯出登錄檔 ] 對話框中,輸入 MCL HKCU 檔案關聯登錄backup.reg ,然後按兩下 [ 儲存]。
根據預設,這會在 [我的文檔] 資料夾中建立此登錄機碼的備份。
按下Delete鍵以刪除登錄機碼。 當系統提示您刪除登錄值時,按兩下 [ 是]。
使用下列命令,從受控部署腳本建立登錄機碼的備份複本:
Regedit.exe /e MCL_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\.MCL Regedit.exe /e MCL_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.MCL
將下列項目儲存至擴展名為 .reg 的檔案(例如,Delete_MCL_file_association.reg):
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\.MCL]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
FileExts\.MCL]
使用下列命令,在目標電腦上執行您在步驟 2 中建立的登錄文稿:
Regedit.exe /s Delete_EXTENSION_file_association.reg
如何復原因應措施。
如需安全性更新部署資訊,請參閱執行摘要中這裏參考的 Microsoft 知識庫文章。
Microsoft 可辨識安全性社群中協助我們透過協調弱點洩漏保護客戶的工作。 如需詳細資訊,請參閱通知。
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
頁面產生的 2016-05-04 11:08-07:00。
訓練
認證
Microsoft認證:資訊安全系統管理員關聯(beta) - Certifications
身為資訊安全系統管理員,您可以使用 Microsoft Purview 和相關服務,規劃和實作敏感數據的資訊安全性。 您必須負責藉由保護共同作業環境內由 365 Microsoft 365 所管理的數據免受內部和外部威脅,以及保護 AI 服務使用的數據,來降低風險。 您也會實作資訊保護、數據外泄防護、保留、內部風險管理,以及管理資訊安全警示和活動。 您與其他負責控管、數據和安全性的角色合作,以評估及開發原則,以解決組織的資訊安全性和風險降低目標。 您可以與工作負載系統管理員、商務應用程式擁有者和治理項目關係人共同作業,以實作支援必要原則和控制的技術解決方案。 此角色也參與回應資訊安全事件。 您應該熟悉所有Microsoft 365 服務、PowerShell、Microsoft Entra、Microsoft Defender 入口網站,以及 Microsoft Defender for Cloud Apps。 這很重要 請檢閱在考試 SC-401 頁面的連結內的研究指南。