安全性布告欄

Microsoft 安全性公告 MS07-028 - 重大

CAPICOM 中的弱點可能會允許遠端程式代碼執行 (931906)

發佈時間: 2007 年 5 月 8 日

版本: 1.0

摘要

神秘 應閱讀本檔:使用 CAPICOM 或 BizTalk 2004 的客戶

弱點的影響: 遠端程式代碼執行

最大嚴重性評等: 重大

建議: 客戶應立即套用更新

安全性更新取代:

警告:

測試的軟體與安全性更新下載位置:

受影響的軟體:

非受影響的軟體:

  • BizTalk Server 2000
  • BizTalk Server 2002
  • BizTalk Server 2006

此清單中的軟體已經過測試,以判斷版本是否受到影響。 其他版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷產品與版本的支援生命週期,請流覽 Microsoft 支援服務 生命周期網站

一般資訊

執行摘要

摘要:

此更新可解決新發現的私下回報弱點。 此弱點記載於本公告的 [弱點詳細數據] 區段中自己的子區段中。

我們建議客戶立即套用更新。

嚴重性評等和弱點標識碼:

弱點標識碼 弱點的影響 CAPICOM Microsoft BizTalk Server 2004
CAPICOM。憑證弱點 - CVE-2007-0940 遠端程式代碼執行 重大 重大

評估 是以受弱點影響的系統類型、其一般部署模式,以及惡意探索弱點會對它們造成的影響為基礎。

此版本會取代哪些更新?
此安全性更新不會取代任何先前的安全性更新。

我是否可以使用 Microsoft 基準安全性分析器 (MBSA) 來判斷是否需要此更新?
下表提供此安全性更新的 MBSA 偵測摘要。

Products MBSA 1.2.1 Est MBSA 2.0.1
CAPICOM No .是 Yes
BizTalk Server 2004 No .是 Yes

如需 MBSA 的詳細資訊,請流覽 MBSA 網站。 如需 Microsoft Update 和 MBSA 2.0 目前未偵測到之軟體的詳細資訊,請參閱 Microsoft 知識庫文章 895660

如需詳細資訊,請參閱 Microsoft 知識庫文章910723:每月偵測和部署指引文章的摘要清單。

什麼是企業更新掃描工具 (EST)?
在持續承諾提供布告欄級安全性更新的偵測工具中,每當 Microsoft 基準安全性分析器 1.2.1 和 Office 偵測工具 (ODT) 無法偵測 MSRC 發行週期是否需要更新時,Microsoft 就會提供獨立偵測工具。 此獨立工具稱為企業更新掃描工具(EST),專為企業系統管理員所設計。 針對特定公告建立企業更新掃描工具版本時,客戶可以從命令行介面 (CLI) 執行此工具,並檢視 XML 輸出檔的結果。 為了協助客戶更妥善地利用此工具,將會提供詳細的檔。 另外還有一個工具版本,可提供SMS系統管理員的整合式體驗。

我是否可以使用企業更新掃描工具 (EST) 版本來判斷是否需要此更新?
是。 Microsoft 已建立 EST 版本,以判斷您是否必須套用此更新。 如需本月發行之 EST 版本的下載鏈接和詳細資訊,請參閱 Microsoft 知識庫文章894193。 SMS 客戶應該檢閱下列常見問題:「我是否可以使用系統管理伺服器 (SMS) 來判斷是否需要此更新?」,以取得 SMS 和 EST 的詳細資訊。

我是否可以使用系統管理伺服器 (SMS) 來判斷是否需要此更新?
下表提供此安全性更新的SMS偵測摘要。

Products SMS 2.0 SMS 2003
CAPICOM 是 (含 EST) Yes
BizTalk Server 2004 是 (含 EST) Yes

SMS 2.0 和 SMS 2003 軟體更新服務 (SUS) Feature Pack 可以使用 MBSA 1.2.1 進行偵測,因此在此公告中所列的限制與 MBSA 1.2.1 未偵測到的程式相同。

針對SMS 2.0,SMS SUS功能套件,其中包含安全性更新清查工具 (SUIT),可供SMS用來偵測安全性更新。 SMS SUIT 使用 MBSA 1.2.1 引擎進行偵測。 如需 SUIT 的詳細資訊,請流覽下列 Microsoft 網站。 如需 SUIT 限制的詳細資訊,請參閱 Microsoft 知識庫文章 306460。 SMS SUS 功能套件也包含 Microsoft Office 清查工具,可偵測 Microsoft Office 應用程式 lication 的必要更新。

針對 SMS 2003,SMS 2003 適用於 Microsoft 更新 (ITMU) 的 SMS 2003 清查工具可用於偵測 Microsoft Update 所提供的安全性更新,以及 Windows Server Update Services 支援的安全性更新。 如需 SMS 2003 ITMU 的詳細資訊,請流覽下列 Microsoft 網站。 SMS 2003 也可以使用 Microsoft Office 清查工具來偵測 Microsoft Office 應用程式 lication 的必要更新。

如需 SMS 的詳細資訊,請流覽 SMS 網站

如需詳細資訊,請參閱 Microsoft 知識庫文章910723:每月偵測和部署指引文章的摘要清單。

我是否可以使用SMS來判斷是否已安裝其他必須更新的程式?
是。 SMS 可協助偵測是否有已安裝弱點元件版本的其他程式。 SMS 可以搜尋檔案是否存在CAPICOM.dll。 更新早於 2.1.0.2 版的所有CAPICOM.dll版本。

弱點詳細數據

CAPICOM。憑證弱點 - CVE-2007-0940:

密碼編譯 API 元件物件模型 (CAPICOM) 中存在遠端程式代碼執行弱點,可讓成功利用此弱點的攻擊者完全控制受影響的系統。

CAPICOM 的緩和因素。憑證弱點 - CVE-2007-0940:

  • 在 Web 型攻擊案例中,攻擊者必須裝載包含用來惡意探索此弱點之網頁的網站。 攻擊者無法強制用戶流覽特製的網站。 相反地,攻擊者必須說服他們瀏覽網站,通常是讓他們按兩下將他們帶到攻擊者網站的連結。 按兩下連結之後,系統會提示他們執行數個動作。 只有在他們執行這些動作之後,才會發生攻擊。
  • 成功惡意探索此弱點的攻擊者可能會獲得與本機使用者相同的用戶權力。 帳戶設定為具有較少使用者權限的使用者,與使用系統管理使用者權限的使用者相比,所受的影響可能較小。
  • 根據預設,所有支援的 Microsoft Outlook 和 Microsoft Outlook Express 版本都會在受限制的網站區域中開啟 HTML 電子郵件訊息。 受限制的網站區域可藉由防止讀取 HTML 電子郵件時使用 Active Scripting 和 ActiveX 控件,協助減少利用此弱點的成功攻擊數目。 不過,如果使用者在電子郵件內單擊連結,他們仍然可能透過 Web 型攻擊案例容易受到此問題的影響。
  • 根據預設,Windows Server 2003 上的 Internet Explorer 會以稱為 增強式安全性設定的受限制模式執行。 此模式會將因特網區域的安全性層級設定為 [高]。 這是尚未新增至 Internet Explorer 信任網站區域之網站的緩和因素。 如需 Internet Explorer 增強式安全性設定的詳細資訊,請參閱此弱點的常見問題小節。
  • 根據預設,此 ActiveX 控制件不會包含在 Internet Explorer 7 中 ActiveX 控制件的預設允許清單中。 只有使用 ActiveX 選擇加入功能明確核准此控件的客戶會面臨嘗試惡意探索此弱點的風險。 不過,如果客戶已在舊版 Internet Explorer 中使用此 ActiveX 控件,則會啟用此 ActiveX 控制件在 Internet Explorer 7 中運作,即使客戶尚未使用 ActiveX 選擇加入功能明確核准它也一樣。

CAPICOM 的因應措施。憑證弱點 - CVE-2007-0940:

Microsoft 已測試下列因應措施。 雖然這些因應措施不會修正基礎弱點,但它們有助於封鎖已知的攻擊向量。 當因應措施減少功能時,會在下一節中加以識別。

  • 停用在 Internet Explorer 中具現化 CAPICOM 控件的嘗試
    您可以藉由在登錄中設定 控件的終止位,來停用具現化此 ActiveX 控制件的嘗試。

    警告 如果您使用註冊表編輯器不正確,可能會造成嚴重問題,而可能需要重新安裝操作系統。 Microsoft 無法保證您可以解決使用註冊表編輯器不正確所造成的問題。 請自行承擔使用登錄編輯程式的風險。

    如需可用來防止控件在 Internet Explorer 中執行的詳細步驟,請參閱 Microsoft 知識庫文章240797。 請遵循本文中的下列步驟,在登錄中建立相容性旗標值,以防止 COM 物件在Internet Explorer 中具現化。

    若要使用 下列值設定 CLSID 的終止位:

    • {17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}
    • {FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}

    在文本編輯器中貼上下列文字,例如 記事本。 然後,使用.reg擴展名來儲存盤案。

    Windows 登錄編輯器版本 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}]

    “Compatibility Flags”=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}]

    “Compatibility Flags”=dword:00000400

    您可以按兩下此檔案,將此.reg檔案套用至個別系統。 您也可以使用組策略跨網域套用它。 如需組策略的詳細資訊,請流覽下列 Microsoft 網站:

    組策略集合

    什麼是組策略對象編輯器?

    核心組策略工具和設定

注意: 您必須重新啟動 Internet Explorer,變更才會生效。

因應措施的影響:CAPICOM 控制件可能無法再正確顯示或運作。

  • 將 Internet Explorer 設定為在執行 ActiveX 控件之前提示,或在因特網和近端內部網路安全性區域中停用 ActiveX 控件
    您可以在執行 ActiveX 控件之前,將 Internet Explorer 設定變更為提示,以協助防範此弱點。 若要這麼做,請執行下列步驟:

    1. 在 Internet Explorer 中,單擊 [工具] 功能表上的 [因特網選項]。
    2. 按一下 [安全性] 索引標籤。
    3. 按兩下 [ 因特網],然後按兩下 [ 自定義層級]。
    4. [設定] 底下的 [ActiveX 控件和外掛程式] 區段中,於 [執行 ActiveX 控件和外掛程式] 底下,按兩下 [提示] 或 [停用],然後按兩下 [確定]。
    5. 按兩下 [ 近端內部網络],然後按兩下 [ 自定義層級]。
    6. [設定] 底下的 [ActiveX 控件和外掛程式] 區段中,於 [執行 ActiveX 控件和外掛程式] 底下,按兩下 [提示] 或 [停用],然後按兩下 [確定]。
    7. 按兩次返回 Internet Explorer。

因應措施的影響: 在執行 ActiveX 控制項之前提示有副作用。 位於因特網或內部網路上的許多網站都會使用 ActiveX 來提供其他功能。 例如,在線電子商務網站或銀行網站可能會使用 ActiveX 控件來提供功能表、訂購表單,甚至是帳戶帳單。 在執行 ActiveX 控制件之前提示是會影響所有因特網和內部網路網站的全域設定。 當您啟用此因應措施時,會經常提示您。 針對每個提示,如果您覺得信任您瀏覽的網站,請按兩下 [ ] 以執行 ActiveX 控制件。 如果您不想提示所有這些網站,請使用<將信任的網站新增至 Internet Explorer 信任的網站區域>中所述的步驟。

將您信任的網站新增至 Internet Explorer 信任的網站區域

將 Internet Explorer 設定為在因特網區域和近端內部網路區域中執行 ActiveX 控制件和 Active Scripting 之前需要提示之後,您可以將信任的網站新增至 Internet Explorer 信任的網站區域。 這可讓您像今天一樣繼續使用受信任的網站,同時協助保護您不受不受信任網站的此攻擊。 建議您只將信任的網站新增至 [信任的網站] 區域。

若要這樣做,請遵循下列步驟:1。在 Internet Explorer 中,按兩下 [工具],按兩下 [因特網選項],然後按兩下 [ 安全性 ] 索引標籤。2。在 [ 選取 Web 內容區域以指定其目前的安全性設定 ] 方塊中,按兩下 [ 信任的網站],然後按兩下 [ 網站]。 3.如果您想要新增不需要加密通道的網站,請按下以清除 [需要此區域 所有網站的伺服器驗證 (https:)] 複選框。 4.在 [ 將此網站新增至區域 ] 方塊中,輸入您信任的網站 URL,然後按兩下 [ 新增]。 5.針對您要新增至區域的每個網站重複這些步驟。 6.按兩次以接受變更並返回 Internet Explorer。

注意 新增您信任的任何網站,不要在計算機上採取惡意動作。 您特別想要新增的兩個是 “*.windowsupdate.microsoft.com” 和 “*.update.microsoft.com”(不含引號)。 這些是將裝載更新的網站,而且需要 ActiveX 控件才能安裝更新。

  • 將因特網和近端內部網路安全性區域設定設定設定為 [高] 以提示,再在這些區域中執行ActiveX控件和作用中腳本
    您可以變更因特網安全性區域的設定,以在執行 ActiveX 控件之前提示,以協助防範此弱點。 您可以將瀏覽器安全性設定為 [高] 來執行此動作。

    若要在 Microsoft Internet Explorer 中提高流覽安全性層級,請遵循下列步驟:

    1. 在 [Internet Explorer 工具] 功能表上,按兩下 [因特網選項]。
    2. 在 [ 因特網選項] 對話框中,按兩下 [ 安全性] 索引標籤,然後按兩下 [因特網 ] 圖示。
    3. 在 [此區域的安全性層級] 下,將滑桿移至 [高]。 這會為您流覽 至 High 的所有網站設定安全性層級。

    注意 如果沒有顯示滑桿,請按兩下 [預設層級],然後將滑桿移至 [高]。

    注意 將層級設定為 [高 ] 可能會導致某些網站運作不正確。 如果您在變更此設定之後難以使用網站,而且您確定網站是安全的,您可以將該網站新增至信任的網站清單。 這可讓網站正常運作,即使安全性設定設為 [高]。

因應措施的影響: 在執行 ActiveX 控制項之前提示有副作用。 位於因特網或內部網路上的許多網站都會使用 ActiveX 來提供其他功能。 例如,在線電子商務網站或銀行網站可能會使用 ActiveX 控件來提供功能表、訂購表單,甚至是帳戶帳單。 在執行 ActiveX 控制件之前提示是會影響所有因特網和內部網路網站的全域設定。 當您啟用此因應措施時,會經常提示您。 針對每個提示,如果您覺得信任您瀏覽的網站,請按兩下 [ ] 以執行 ActiveX 控制件。 如果您不想提示所有這些網站,請使用<將信任的網站新增至 Internet Explorer 信任的網站區域>中所述的步驟。

將您信任的網站新增至 Internet Explorer 信任的網站區域

將 Internet Explorer 設定為在因特網區域和近端內部網路區域中執行 ActiveX 控制件和 Active Scripting 之前需要提示之後,您可以將信任的網站新增至 Internet Explorer 信任的網站區域。 這可讓您像今天一樣繼續使用受信任的網站,同時協助保護您不受不受信任網站的此攻擊。 建議您只將信任的網站新增至 [信任的網站] 區域。

若要這樣做,請遵循下列步驟:1。在 Internet Explorer 中,按兩下 [工具],按兩下 [因特網選項],然後按兩下 [ 安全性 ] 索引標籤。2。在 [ 選取 Web 內容區域以指定其目前的安全性設定 ] 方塊中,按兩下 [ 信任的網站],然後按兩下 [ 網站]。 3.如果您想要新增不需要加密通道的網站,請按下以清除 [需要此區域 所有網站的伺服器驗證 (https:)] 複選框。 4.在 [ 將此網站新增至區域 ] 方塊中,輸入您信任的網站 URL,然後按兩下 [ 新增]。 5.針對您要新增至區域的每個網站重複這些步驟。 6.按兩次以接受變更並返回 Internet Explorer。

注意 新增您信任的任何網站,不要在計算機上採取惡意動作。 您特別想要新增的兩個是 “*.windowsupdate.microsoft.com” 和 “*.update.microsoft.com”(不含引號)。 這些是將裝載更新的網站,而且需要 ActiveX 控件才能安裝更新。

CAPICOM 的常見問題。憑證弱點 - CVE-2007-0940:

弱點的範圍為何?
這是遠端程式代碼執行弱點。 成功利用此弱點的攻擊者可以從遠端完全控制受影響的系統。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。 帳戶設定為具有較少使用者權限的使用者,與使用系統管理使用者權限的使用者相比,所受的影響可能較小。

造成弱點的原因為何?
CAPICOM 憑證類別處理特定輸入的方式會造成弱點。 如果傳遞非預期的數據,ActiveX 控制項可能會失敗,因此可能會允許遠端程式代碼執行。

什麼是 CAPICOM。證書?
CAPICOM。憑證是 ActiveX 控制件,可提供腳本器(VBS、ASP、ASP.NET 等)的方法,以根據安全的基礎 Windows CryptoAPI 功能來加密數據。 CAPICOM 套件也可下載為 Platform SDK 可轉散發套件:CAPICOM,也是 Windows 平台 SDK 和 Windows 驅動程式套件的一部分。

如果我開發應用程式或軟體並轉散發 CAPICOM,該怎麼辦?
您必須下載最新版的平臺 SDK 可轉散發套件:CAPICOM。 這個新版本包含與此安全性更新相關聯的更新CAPICOM.dll。

如何? 知道我是否有 CAPICOM。已安裝並註冊的憑證?
您可以在系統上搜尋 CAPICOM.dll,以確認是否已安裝 CAPICOM。 如果您有 2.1.01 版或更低版本,您應該更新系統。

您可以確認您是否有下列登錄機碼的任何組合,以確認您是否有易受攻擊的 CAPICOM 版本。在您的系統上註冊的ActiveX控制項憑證:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM。Certificates.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM。Certificates.2\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM。Certificates.3\CLSID

攻擊者可能會使用弱點來執行哪些動作?
成功惡意探索此弱點的攻擊者可能會完全控制受影響的系統。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。 帳戶設定為具有較少使用者權限的使用者,與使用系統管理使用者權限的使用者相比,所受的影響可能較小。

為什麼在安裝此安全性更新之後,舊版的 CAPICOM.dll仍然在系統上?
使用者可能已經從 Microsoft 以外的來源安裝CAPICOM.dll。 非 Microsoft 產品可能已安裝CAPICOM.dll。 由於安全性更新無法判斷先前CAPICOM.dll版本的來源,因此會留在系統上以取得應用程式相容性。 舊版不會讓您的系統容易受到此弱點的影響。

神秘 會利用弱點嗎?
在 Web 型攻擊案例中,攻擊者必須裝載包含網頁的網站,以嘗試利用此弱點。 攻擊者無法強制用戶流覽特製的網站。 相反地,攻擊者必須說服他們瀏覽網站,通常是讓他們按兩下將他們帶到攻擊者網站的連結。

哪些系統主要面臨弱點的風險?
此弱點要求使用者登入並瀏覽網站,以進行任何惡意動作。 因此,安裝並註冊 CAPICOM 憑證的任何系統經常使用 Internet Explorer,例如工作站或終端機伺服器,都面臨此弱點的最大風險。

我正在執行 Internet Explorer 7。 這會減輕此弱點嗎?
是。 執行 Internet Explorer 7 且具有預設設定的客戶,在透過因特網區域中的 ActiveX 加入加入功能啟用 CAPICOM 憑證控件之前,不會有風險。 不過,如果客戶已在舊版 Internet Explorer 中使用此 ActiveX 控件,則會啟用此 ActiveX 控制件在 Internet Explorer 7 中運作,即使客戶尚未使用 ActiveX 選擇加入功能明確核准它也一樣。

Internet Explorer 7 中的 ActiveX 加入功能為何?
Internet Explorer 7 包含 ActiveX 加入加入功能,這表示預設幾乎所有預安裝的 ActiveX 控制件都會關閉。 使用者會收到資訊列的提示,然後才能存取尚未在因特網上使用的先前安裝的 ActiveX 控制件。 這可讓使用者依控件允許或拒絕存取。 如需這項功能和其他新功能的詳細資訊,請參閱 Windows Internet Explorer 7 功能頁面

我在 Windows Server 2003 上執行 Internet Explorer。 這會減輕此弱點嗎?
是。 根據預設,Windows Server 2003 上的 Internet Explorer 會以稱為 增強式安全性設定的受限制模式執行。 此模式會將因特網區域的安全性層級設定為 [高]。 這是尚未新增至 Internet Explorer 信任網站區域之網站的緩和因素。 如需 Internet Explorer 增強式安全性設定的詳細資訊,請參閱此安全性更新的常見問題一節。

什麼是 Internet Explorer 增強式安全性設定?
Internet Explorer 增強式安全性設定是預先設定的 Internet Explorer 設定群組,可降低使用者在伺服器上下載和執行惡意 Web 內容的可能性。 Internet Explorer 增強式安全性設定可藉由修改許多安全性相關設定來降低此威脅,包括因特網選項中的 [安全性] 和 [進階] 索引卷標設定。 部分主要修改包括:

  • 因特網區域的安全性層級設定為 [高]。 此設定會停用腳本、ActiveX 元件、Microsoft 虛擬機 (Microsoft VM) HTML 內容,以及檔案下載。
  • 內部網路網站的自動偵測已停用。 此設定會將未明確列在近端內部網路區域的所有內部網路網站和所有通用命名約定 (UNC) 路徑指派給因特網區域。
  • 已停用隨選安裝和非 Microsoft 瀏覽器擴充功能。 此設定可防止網頁自動安裝元件,並防止非 Microsoft 延伸模組執行。
  • 多媒體內容已停用。 此設定可防止音樂、動畫和視訊剪輯執行。

如需 Internet Explorer 增強式安全性設定的詳細資訊,請參閱管理 Internet Explorer 增強式安全性設定指南,您可以在下列 網站找到。

更新有何用途?
更新會修改 CAPICOM 的方式來移除弱點。憑證 ActiveX 控制件會執行參數驗證。 它也會解決透過內部調查探索到的其他問題。

發佈此安全性布告欄時,是否已公開披露此弱點?
否。 Microsoft 透過負責任的洩漏收到此弱點的相關信息。

發佈此安全性布告欄時,Microsoft 是否已收到任何有關此弱點遭到惡意探索的報告?
否。 Microsoft 尚未收到任何資訊,指出此弱點已公開用來攻擊客戶,而且在最初發佈此安全性公告時,並未看到任何發佈概念證明程式代碼的範例。

安全性更新資訊

受影響的軟體:

如需受影響軟體之特定安全性更新的相關信息,請參閱適當的區段:

CAPICOM 和 BizTalk Server 2004

先決條件
此安全性更新需要安裝並註冊 CAPICOM 憑證。 BizTalk Server 2004 會安裝 CAPICOM 憑證。 此更新適用於獨立和 BizTalk Server 2004 安裝。 非 Microsoft 產品可以重新發佈並安裝CAPICOM.dll。 如需進一步的詳細數據,請參閱常見問題「如何? 知道我是否已安裝並註冊 Capicom.Certificates?」

包含在未來的 Service Pack 中
此問題的更新可能會包含在未來的 Service Pack 或 Microsoft BizTalk Server 2004 的更新匯總中。

安裝資訊

此安全性更新支援下列設定參數。

Switch 描述
設定模式
/q 指定正在擷取檔案時的無訊息模式,或隱藏提示。
/q:u 指定使用者無訊息模式,向用戶顯示一些對話方塊。
/q:a 指定系統管理員無訊息模式,不會向用戶顯示任何對話方塊。
特殊選項
/t:<full path> 指定擷取檔案的目標資料夾。
/c 擷取檔案而不安裝它們。 如果未指定 /T: 路徑,系統會提示使用者輸入目標資料夾。
/c:<Cmd> 覆寫作者所定義的安裝命令。 指定 Setup .inf 或 .exe 檔案的路徑和名稱。

注意 這些參數不一定適用於所有更新。 如果交換器無法使用,則需要該功能才能正確安裝更新。 如果安裝失敗,您應該諮詢支持專業人員以瞭解安裝失敗的原因。

如需所支援安裝參數的其他資訊,請參閱 Microsoft 知識庫文章197147

部署資訊

若要在沒有任何使用者介入的情況下安裝安全性更新,請在命令提示字元中使用下列命令:

CAPICOM-KB931906-v2102 /q:a

如需如何使用軟體更新服務部署此安全性更新的資訊,請瀏覽 軟體更新服務網站。 如需如何使用 Windows Server Update Services 部署此安全性更新的資訊,請流覽 Windows Server Update Services 網站。 此安全性更新也可透過 Microsoft Update 網站取得。

重新啟動需求

此更新不需要重新啟動。

拿掉資訊

若要移除此安全性更新,請使用 控制台 中的 [新增或移除程式] 工具。

檔案資訊

此安全性更新的英文版本具有下表所列的檔案屬性。 這些檔案的日期和時間會以國際標準時間 (UTC) 列出。 當您檢視檔案資訊時,它會轉換成當地時間。 若要尋找 UTC 與當地時間之間的差異,請使用 控制台 中 [日期和時間] 工具中的 [時區] 索引標籤。

檔案名稱 版本 Date Time 大小
License.mht NA 2007年2月26日 23:16 142,534
License.rtf NA 2007年2月26日 23:16 134,577
CAPICOM.dll 2.1.0.2 2007 年 4 月 11 日 18:11 511,328

確認已套用更新

  • 檔案版本驗證

    注意 因為 Microsoft Windows 有數個版本,因此您的計算機上下列步驟可能不同。 如果是,請參閱您的產品檔,以完成這些步驟。

    1. 按兩下 [ 開始],然後按兩下 [ 搜尋]。

    2. 在 [搜尋結果] 窗格中,單擊 [搜尋隨附] 底下的 [所有檔案和資料夾]。

    3. 在 [ 檔名的所有或部分] 方塊中 ,從適當的檔案信息數據表輸入檔名,然後按兩下 [ 搜尋]。

    4. 在檔案清單中,以滑鼠右鍵按兩下適當檔案資訊資料表中的檔名,然後按兩下 [ 屬性]。

      注意 根據安裝的作業系統或程式版本而定,可能不會安裝檔案資訊表中所列的一些檔案。

    5. 在 [ 版本] 索引標籤上,藉由將它與適當檔案資訊表中記載的版本進行比較,來判斷計算機上安裝的檔案版本。

      注意 檔案版本以外的屬性可能會在安裝期間變更。 比較其他檔案屬性與檔案信息數據表中的資訊不是驗證已套用更新的支援方法。 此外,在某些情況下,可能會在安裝期間重新命名檔案。 如果檔案或版本資訊不存在,請使用其他其中一個可用方法來驗證更新安裝。

  • 登錄機碼驗證
    您也可以檢閱下列登入機碼,確認此安全性更新已安裝的檔案:

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM。Certificates.4\CLSID

其他資訊

確認

Microsoft 感謝您 與我們合作,協助保護客戶:

  • VigilantMinds Inc.克里斯·里斯報告 CAPICOM。憑證弱點 (CVE-2007-0940)

取得其他安全性 更新:

下列位置提供其他安全性問題的 更新:

  • Microsoft 下載中心提供安全性更新。 您可以藉由搜尋「security_patch」關鍵詞,輕鬆找到它們。
  • 取用者平臺的 更新 可在Microsoft Update 網站

支援:

  • 美國和加拿大的客戶可以在 1-866-PCSAFETY 收到 Microsoft 產品支援服務的技術支援。 與安全性更新相關聯的支援呼叫不收取任何費用。
  • 國際客戶可以從其當地 Microsoft 子公司獲得支援。 與安全性更新相關聯的支援不收取任何費用。 如需如何連絡 Microsoft 以取得支持問題的詳細資訊,請造訪 國際支持網站

安全性資源:

軟體更新服務:

藉由使用 Microsoft 軟體更新服務 (SUS),系統管理員可以快速地可靠地將最新的重大更新和安全性更新部署到 Windows 2000 和 Windows Server 2003 伺服器,以及執行 Windows 2000 專業版或 Windows XP Professional 的桌面系統。

如需如何使用軟體更新服務部署安全性更新的詳細資訊,請瀏覽 軟體更新服務網站

Windows Server Update Services:

藉由使用 Windows Server Update Services (WSUS),系統管理員可以快速且可靠地將 Windows 2000 操作系統和更新版本、Office XP 和更新版本、Exchange Server 2003 和 SQL Server 2000 的最新重大更新和安全性更新部署到 Windows 2000 和更新版本的操作系統。

如需如何使用 Windows Server Update Services 部署安全性更新的詳細資訊,請流覽 Windows Server Update Services 網站

系統管理系統伺服器:

Microsoft Systems Management Server (SMS) 提供高度可設定的企業解決方案來管理更新。 藉由使用SMS,系統管理員可以識別需要安全性更新的Windows型系統,並可在整個企業中執行這些更新的受控部署,對終端使用者造成最少的中斷。 如需系統管理員如何使用SMS 2003部署安全性更新的詳細資訊,請流覽 SMS 2003安全性修補程式管理網站。 SMS 2.0 使用者也可以使用軟體 更新 Service Feature Pack 來協助部署安全性更新。 如需 SMS 的相關信息,請流覽 SMS 網站

注意 SMS使用 Microsoft 基準安全性分析器、Microsoft Office 偵測工具和企業更新掃描工具,為安全性布告欄更新偵測和部署提供廣泛的支援。 這些工具可能不會偵測到某些軟體更新。 管理員 istrators 可以使用 SMS 的清查功能,在這些情況下以特定系統的更新為目標。 如需此程式的詳細資訊,請流覽下列 網站。 某些安全性更新需要系統重新啟動之後的系統管理許可權。 管理員 istrators 可以使用提高許可權部署工具(可在 SMS 2003 管理員 istration Feature Pack 中取得,以及在 SMS 2.0 管理員 istration Feature Pack 中取得)來安裝這些更新。

免責聲明

Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。

變更:

  • V1.0 (2007 年 5 月 8 日): 公告發佈。

建置於 2014-04-18T13:49:36Z-07:00