Microsoft 安全公告 MS15-045 - 严重

发布时间： 2015 年 5 月 12 日

版本： 1.0

此安全更新可解决 Microsoft Windows 中的漏洞。 如果用户打开专门制作的日记文件，则漏洞可能会允许远程代码执行。 与使用管理用户权限操作的用户相比，其帐户在系统上具有更少用户权限的用户更不易受到影响。

此安全更新针对所有受支持的 Windows Vista 版本、Windows Server 2008（不包括 Itanium）、Windows 7、Windows Server 2008 R2（不包括 Itanium）、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2 和 Windows RT 8.1 的所有受支持版本都被评为“严重”。 有关详细信息，请参阅 “受影响的软件 ”部分。

安全更新通过修改 Windows 日记分析日志文件的方式来解决漏洞。 有关漏洞的详细信息，请参阅 “漏洞信息 ”部分。

有关此更新的详细信息，请参阅 Microsoft 知识库文章3046002。

以下软件版本或版本受到影响。 未列出的版本或版本要么超过其支持生命周期，要么不受影响。 若要确定软件版本或版本的支持生命周期，请参阅Microsoft 支持部门生命周期。

请注意 ，此更新适用于 Windows Technical Preview 和 Windows Server Technical Preview。 鼓励运行这些操作系统的客户应用通过Windows 更新提供的更新。

^[1]服务器在其默认配置中不受影响;但是，根据操作系统，如果安装了桌面体验或启用了桌面体验的功能，它们将受到影响。 有关详细信息，请参阅本公告中的更新常见问题解答。

^[2]此更新只能通过Windows 更新获取。

我在受影响的软件表中运行其中一个操作系统。 为什么我没有收到日记更新？
此更新仅提供给安装了 Windows 日记的系统。

注意 ，在受支持的 Windows Server 2008 版本中，默认情况下不会安装 Windows 日记。 在此操作系统上，启用桌面体验功能时会安装它。 因此，仅当启用了桌面体验时，Windows 日记的更新才适用。

注意 ，在受支持的 Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2 版本上，默认情况下不会安装 Windows 日记。 在这些操作系统上，启用 Ink 和 Handwriting Services 功能时，会安装它。 因此，仅当启用了墨迹和手写服务时，Windows 日记的更新才适用。

以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布 30 天内漏洞的可利用性及其严重性评级和安全影响的信息，请参阅 5 月公告摘要中的“可利用性索引”。

在 Windows 日记中打开特制日记文件时，Microsoft Windows 中存在远程代码执行漏洞。 成功利用此漏洞的攻击者可能会导致任意代码在当前用户的上下文中执行。 如果用户使用管理用户权限登录，攻击者可以完全控制受影响的系统。 然后，攻击者可能会安装程序、查看更改项或删除数据，还可能会使用完全用户权限创建新的帐户。 与使用管理用户权限操作的用户相比，其帐户在系统上具有更少用户权限的用户更不易受到影响。

若要使攻击成功，此漏洞要求用户打开具有受影响版本的 Windows 日记的特制日记文件。 在电子邮件攻击方案中，攻击者可以通过向用户发送专门制作的日记文件并说服用户打开该文件来利用漏洞。 此更新通过修改 Windows 日记分析日记文件的方式来解决漏洞。

下表包含指向常见漏洞和公开列表中的每个漏洞的标准条目的链接：

Microsoft 尚未识别此漏洞的任何 缓解因素 。

以下解决方法可能对你的情况有所帮助：

• 不要打开从不受信任的源收到的 Windows 日记 （.jnt） 文件，或者从受信任的源意外收到的文件
  不要打开从不受信任的源收到的 Windows 日记 （.jnt） 文件，或者从受信任的源意外收到的文件。 当用户打开特制文件时，可能会利用此漏洞。

• 删除 .jnt 文件类型关联

  交互式方法：
  请注意 ，错误地使用注册表编辑器可能会导致严重问题，可能需要重新安装操作系统。 Microsoft 无法保证可以解决因不正确地使用注册表编辑器而导致的问题。 请慎用注册表编辑器，风险自负。 有关如何编辑注册表的信息，请查看注册表编辑器（Regedit.exe）中的“更改键和值”帮助主题，或在Regedt32.exe中查看“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

  若要使用交互式方法删除 .jnt 文件类型关联，请执行以下步骤：

  1. 单击“开始”，再单击“运行”，键入“regedit& ”，然后单击“确定”。
  2. 展开HKEY_CLAS标准版S_ROOT，单击 jntfile，然后单击“文件”菜单，然后选择“导出”。
  3. 在 “导出注册表文件 ”对话框中，键入 jntfile HKCR 文件关联注册表backup.reg 并单击“ 保存”。 默认情况下，这将在“我的文档”文件夹中创建此注册表项的备份。
  4. 按键盘上的 Delete 键删除注册表项。 当系统提示删除注册表值时，单击“ 是”。
  5. 依次展开 HKEY_CURRENT_U标准版R、Software、Microsoft、Windows、CurrentVersion、Explorer 和 FileExts。
  6. 单击 .jnt ，然后单击 “文件 ”菜单，然后选择“ 导出”。
  7. 在 “导出注册表文件 ”对话框中，键入 .jntHKCU 文件关联注册表backup.reg ，然后单击“ 保存”。 默认情况下，这将在“我的文档”文件夹中创建此注册表项的备份。
  8. 按键盘上的 Delete 键删除注册表项。 当系统提示删除注册表值时，单击“ 是”。

使用托管脚本：
请注意 ，错误地使用注册表编辑器可能会导致严重问题，可能需要重新安装操作系统。 Microsoft 无法保证可以解决因不正确地使用注册表编辑器而导致的问题。 请慎用注册表编辑器，风险自负。 有关如何编辑注册表的信息，请查看注册表编辑器（Regedit.exe）中的“更改键和值”帮助主题，或在Regedt32.exe中查看“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

若要使用交互式托管脚本删除 .jnt 文件类型关联，请执行以下步骤：

1. 首先，使用托管部署脚本和以下命令创建注册表项的备份副本：

   ```
   Regedit.exe /e jntfile_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\jntfile  
   Regedit.exe /e jnt_HKCU_registry_backup.reg `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt
   ```
   

2. 接下来，将以下内容保存到扩展名为.reg的文件（例如，Delete_jnt_file_association.reg）：

   ```
   Windows Registry Editor Version 5.00  
   [-HKEY_CLASSES_ROOT\jntfile]  
   [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt]
   ```
   

3. 运行以下命令，在目标计算机上运行在步骤 2 中创建的上述注册表脚本：

   ```
   Regedit.exe /s Delete_jnt_file_association.reg
   ```
   

解决方法的影响。 双击 .jnt 文件将不再启动journal.exe。

如何撤消解决方法：

使用注册表编辑器还原注册表项以还原保存在其中的设置。REG 文件。

• 通过禁用安装 Windows 的 Windows 功能来删除 Windows 日记

  在 Windows Vista 和 Windows 7 系统上，请执行以下步骤：

  1. 单击“开始”，单击控制面板，然后单击“程序”。
  2. 单击“打开或关闭 Windows 功能”，然后清除平板电脑可选组件（Windows Vista 系统）或平板电脑组件（Windows 7 系统）。
  3. 单击“确定”。

解决方法的影响。 Windows 日记已从系统中删除。

如何撤消解决方法：

若要在 Windows Vista 或 Windows 7 系统上重新安装 Windows 日记，请执行以下步骤：

1. 单击“开始”，单击控制面板，然后单击“程序”。
2. 单击“打开或关闭 Windows 功能”，然后检查平板电脑可选组件（Windows Vista 系统）或平板电脑组件（Windows 7 系统）。
3. 单击“确定”。

• 拒绝访问Journal.exe
  若要拒绝访问Journal.exe，请在管理命令提示符处输入以下命令：

  > takeown.exe /f "%ProgramFiles%\Windows Journal\Journal.exe" 
  > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /deny everyone:(F)
  

解决方法的影响。 Windows 日记变得不可访问。

如何撤消解决方法：

若要恢复对Journal.exe的访问权限，请在管理命令提示符处输入以下命令：

> icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /remove:d everyone

有关安全更新部署信息，请参阅“执行摘要”中引用的 Microsoft 知识库文章。

Microsoft 认识到安全社区中那些帮助我们通过协调漏洞披露来保护客户的努力。 有关详细信息，请参阅确认。

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

• V1.0（2015 年 5 月 12 日）：公告已发布。

页面生成的 2015-05-06 11：14Z-07：00。