Microsoft Security Bulletin MS10-042 - 重大

緩和因素是指存在於預設狀態中的設定、共用設定或一般最佳作法，可能會減少弱點影響的嚴重性。 下列緩和因素可能對您的狀況有所助益：

• 在網頁式攻擊的案例中，攻擊者可架設一個網站，並在其中包含利用此弱點的網頁。 此外，受侵害的網站以及接受或存放使用者提供之內容或廣告的網站裡，也可能包含蓄意製作以利用本弱點的內容。 但是，攻擊者無法強迫使用者造訪網站， 而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件或 Instant Messenger 訊息中通往攻擊者網站的連結。
• 無法透過電子郵件自動攻擊此弱點。 使用者必須點選電子郵件訊息中所列的連結，攻擊才可成功進行。
• 成功利用此弱點的攻擊者可以取得與本機使用者相同的使用者權限。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。

因應措施指的是無法徹底修正弱點，但有助於在套用更新之前封鎖已知攻擊模式的設定變更。 Microsoft 測試了下列因應措施和狀態，討論因應措施是否會降低功能：

• 解除登錄 HCP 通訊協定

注意：請參閱 Microsoft 知識庫文件編號 2229593，瞭解如何使用自動化 Microsoft Fix It 解決方案以啟用或停用此因應措施。

注意：不當使用 [登錄編輯程式] 可能會造成嚴重的問題，甚至可能需要重新安裝您的作業系統。 Microsoft 無法保證能夠順利解決因不當使用「登錄編輯程式」所造成的問題。 請自行承擔使用 [登錄編輯程式] 的風險。 如需有關如何編輯登錄的資訊，請檢視「登錄編輯程式」(Regedit.exe) 中的＜變更機碼及數值＞說明主題，或是 Regedt32.exe 中的＜新增及刪除登錄中的資訊＞與＜編輯登錄資料＞說明主題。

解除登錄 HCP 通訊協定可防止此問題在受影響的系統上遭到利用。

使用互動方法

1. 依序按一下 [開始]、[執行]，在 [開啟] 方塊中鍵入 Regedit，然後按一下 [確定]
2. 找出並按一下下列登錄機碼：
   
   HKEY_CLASSES_ROOT\HCP
3. 按一下 [檔案] 功能表，再選取 [匯出]
4. 在 [匯出登錄檔案] 對話方塊中，輸入 HCP_Procotol_Backup.reg，然後按一下 [儲存]。
   
   注意：依預設，這個動作會在 [我的文件] 資料夾中建立這個登錄機碼的備份。
5. 按下鍵盤上的 Delete 鍵來刪除登錄機碼。 當系統透過 [確認機碼刪除] 對話方塊提示您刪除登錄機碼時，請按一下 [是]。

使用管理的部署指令碼

1. 使用包含下列命令的受管理部署指令碼，建立登錄機碼的備份：
   
   Regedit.exe /e HCP_Protocol_Backup.reg HKEY_CLASSES_ROOT\HCP
2. 接著，將以下項目儲存到副檔名為 .REG 的檔案中 (例如 Disable_HCP_Protocol.reg)：
   
   Windows Registry Editor Version 5.00
   
   [-HKEY_CLASSES_ROOT\HCP]
3. 在目標電腦上，從已提高權限的命令提示字元中，使用下述命令執行上述登錄指令碼：
   
   Regedit.exe /s Disable_HCP_Protocol.reg

因應措施的影響： 解除登錄 HCP 通訊協定，將會中斷所有使用 hcp:// 的正常本機說明連結。 例如，控制台中的連結可能無法再運作。

如何復原因應措施

使用互動方法

1. 依序按一下 [開始]、[執行]，在 [開啟] 方塊中輸入 Regedit，然後按一下 [確定]。
2. 按一下 [檔案] 功能表，再選取 [匯入]。
3. 在 [匯入登錄檔案] 對話方塊中，選取 HCP_Procotol_Backup.reg，然後按一下 [開啟]。

使用管理的部署指令碼

• 執行下述命令可還原為原本狀態：
  
  Regedit.exe /s HCP_Protocol_Backup.reg

這個弱點的範圍為何？  
這是遠端執行程式碼的弱點。 成功利用此弱點的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。

造成這個弱點的原因為何？  
「Windows 說明及支援中心」使用 HCP 通訊協定時未正常驗證 URL。

什麼是說明及支援中心？  
「說明及支援中心」(HSC) 是 Windows 中的一項功能，可提供關於各種主題的說明。 例如，HSC 可讓使用者瞭解關於 Windows 功能、下載安裝軟體更新、判斷特定硬體裝置是否與 Windows 相容、取得 Microsoft 協助等資訊。 使用者與程式可以在 URL 連結中使用 "hcp://" 首碼，來執行「說明及支援中心」的 URL 連結。

什麼是 HCP 通訊協定？  
HCP 通訊協定和用來執行 URL 連結以開啟網頁瀏覽器的 HTTP 通訊協定很相似，HCP 通訊協定可以用來執行開啟「說明及支援中心」功能的 URL 連結。

協力廠商應用程式是否會受到此問題直接影響？  
否。 然而，此問題可能會透過網路交易遭到利用，網頁瀏覽器類型不限。 在網頁式攻擊案例中，攻擊者必須主控含有蓄意製作的 URI 的網頁。 有能力處理 HCP 通訊協定的任何應用程式，皆可作為媒介來利用此問題。

為什麼在 Windows Server 2003 上將此弱點評等為較低的嚴重性？  
此弱點存在 Windows Server 2003 中，但我們尚未發現可在執行 Windows Server 2003 的伺服器上遠端利用此弱點的方法。儘管如此，此更新可藉由移除遠端模式所述威脅來解決 Windows Server 2003 的弱點。

什麼是 URI？  
統一資源識別項 (URI) 是一連串用來執行動作或識別網際網路或網路資源的字元。 URL 是參照資源 (如網站) 之 URI 典型範例。 如需更多關於 URI 的資訊，請參閱 RFC 2396。

攻擊者可能會利用這項弱點採取什麼行動？  
如果使用者以系統管理的使用者權限登入，成功利用此弱點的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。

攻擊者如何利用這項弱點？  
攻擊者可以針對這類經由瀏覽器利用的弱點來設計並架設蓄意製作的網站，然後引誘使用者檢視該網站。 這同時包括受侵害的網站，以及接受或存放使用者提供內容或廣告的網站。 這些網站可能含有經過蓄意製作並利用此弱點的內容。 但是，攻擊者無法強迫使用者造訪網站， 而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件訊息或 Instant Messenger 中通往攻擊者網站的連結。 攻擊者也可能使用橫幅廣告或其他方式來顯示蓄意製作的網頁內容，以便將內容傳遞到受影響的系統。

因為這個弱點而承受風險的主要系統有哪些？  
Windows XP 系統是此弱點的主要影響目標。 Windows Server 2003 系統也存在風險，但我們尚未發現可在 Windows Server 2003 上遠端利用此問題的方法。

更新的作用何在？  
此更新可修改將資料傳遞至「Windows 說明及支援中心」時該資料的驗證方式，藉此解決此弱點。

當資訊安全公告發行時，這項弱點是否已被揭發出來？  
是。 這項弱點已經遭到公開揭發。 這項弱點已被指派「一般性弱點」編號 CVE-2010-1885。此弱點最初是在 Microsoft 資訊安全摘要報告 2219475 中提出。

當本資訊安全公告發行時，Microsoft 是否已接獲任何消息，指出這項弱點已遭有心人士利用？  
是。 Microsoft 已發現嘗試利用此弱點的主動攻擊。 根據分析的範例，Windows Server 2003 系統目前沒有遭受這些攻擊的風險。

參考表

下表包含此軟體的資訊安全更新資訊。 您可以在本節的＜部署資訊＞小節中找到其他資訊。

注意：就 Windows XP Professional x64 Edition 的受支援版本而言，這個資訊安全更新與 Windows Server 2003 x64 Edition 受支援版本的資訊安全更新是相同的。

參考表

下表包含此軟體的資訊安全更新資訊。 您可以在本節的＜部署資訊＞小節中找到其他資訊。