Microsoft 安全公告 MS15-114 - 严重
Windows 日记的安全更新,以解决远程代码执行(3100213)
发布时间: 2015 年 11 月 10 日
版本: 1.0
执行摘要
此安全更新可解决 Microsoft Windows 中的漏洞。 如果用户打开专门制作的日记文件,该漏洞可能会允许远程代码执行。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。
此安全更新针对所有受支持的 Windows Vista 和 Windows 7 版本以及 Windows Server 2008 和 Windows Server 2008 R2 的所有受支持的非 Itanium 版本都被评为“严重”。 有关详细信息,请参阅 “受影响的软件 ”部分。
安全更新通过修改 Windows 日记分析日志文件的方式来解决漏洞。 有关漏洞的详细信息,请参阅 “漏洞信息 ”部分
有关此更新的详细信息,请参阅 Microsoft 知识库文章3100213。
受影响的软件
以下软件版本或版本受到影响。 未列出的版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期。
操作系统 | 最大安全影响 | 聚合严重性分级 | 已替换汇报* |
---|---|---|---|
Windows Vista | |||
Windows Vista Service Pack 2 (3100213) | 远程代码执行 | 严重 | MS15-098 中的 3069114 |
Windows Vista x64 Edition Service Pack 2 (3100213) | 远程代码执行 | 严重 | MS15-098 中的 3069114 |
Windows Server 2008 | |||
Windows Server 2008 for 32 位系统 Service Pack 2 (3100213) | 远程代码执行 | 严重 | MS15-098 中的 3069114 |
基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (3100213) | 远程代码执行 | 严重 | MS15-098 中的 3069114 |
Windows 7 | |||
Windows 7 for 32 位系统 Service Pack 1 (3100213) | 远程代码执行 | 严重 | MS15-098 中的 3069114 |
基于 x64 的系统 Service Pack 1 的 Windows 7 (3100213) | 远程代码执行 | 严重 | MS15-098 中的 3069114 |
Windows Server 2008 R2 | |||
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (3100213) | 远程代码执行 | 严重 | MS15-098 中的 3069114 |
*汇报替换列仅显示被取代更新链中的最新更新。 有关替换的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库(KB)编号,然后查看更新详细信息(更新替换的信息是在“程序包详细信息”选项卡上提供的)。
更新常见问题解答
我在受影响的软件表中运行其中一个操作系统。 为什么我没有收到日记更新?
此更新仅提供给安装了 Windows 日记的系统。
注意 ,在受支持的 Windows Server 2008 版本中,默认情况下不会安装 Windows 日记。 在此操作系统上,启用桌面体验功能时会安装它。 因此,仅当启用了桌面体验时,Windows 日记的更新才适用。
注意 ,在受支持的 Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2 版本上,默认情况下不会安装 Windows 日记。 在这些操作系统上,启用 Ink 和 Handwriting Services 功能时,会安装它。 因此,仅当启用了墨迹和手写服务时,Windows 日记的更新才适用。
严重性分级和漏洞标识符
以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布 30 天内漏洞的可利用性及其严重性评级和安全影响的信息,请参阅 11 月公告摘要中的 Exploitability Index。
受影响的软件的漏洞严重性分级和最大安全影响 | ||
---|---|---|
受影响的软件 | Windows 日记堆溢出漏洞 - CVE-2015-6097 | 聚合严重性分级 |
Windows Vista | ||
Windows Vista Service Pack 2 (3100213) | 关键 远程代码执行 | 严重 |
Windows Vista x64 Edition Service Pack 2 (3100213) | 关键 远程代码执行 | 严重 |
Windows Server 2008 | ||
Windows Server 2008 for 32 位系统 Service Pack 2 (3100213) | 关键 远程代码执行 | 严重 |
基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (3100213) | 关键 远程代码执行 | 严重 |
Windows 7 | ||
Windows 7 for 32 位系统 Service Pack 1 (3100213) | 关键 远程代码执行 | 严重 |
基于 x64 的系统 Service Pack 1 的 Windows 7 (3100213) | 关键 远程代码执行 | 严重 |
Windows Server 2008 R2 | ||
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (3100213) | 关键 远程代码执行 | 严重 |
漏洞信息
Windows 日记堆溢出漏洞 - CVE-2015-6097
在 Windows 日记中打开特制日记文件时,Microsoft Windows 中存在远程代码执行漏洞。 成功利用漏洞的攻击者可能会导致任意代码在当前用户的上下文中执行。 如果用户使用管理用户权限登录,攻击者可以控制受影响的系统。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。
若要使攻击成功,该漏洞要求用户打开具有受影响版本的 Windows 日记的特制日记文件。 在电子邮件攻击方案中,攻击者可以通过向用户发送专门制作的日记文件并说服用户打开该文件来利用漏洞。
此更新通过修改 Windows 日记分析日记文件的方式来解决漏洞。 Microsoft 通过协调的漏洞泄露收到了有关此漏洞的信息。 在最初发布此安全公告时,Microsoft 不知道任何试图利用此漏洞的攻击。
缓解因素
Microsoft 尚未识别此漏洞的任何 缓解因素 。
解决方法
以下解决方法可能对你的情况有所帮助:
不打开可疑文件附件
不要打开从不受信任的源收到的 Windows 日记 (.jnt) 文件,或者从受信任的源意外收到的文件。 当用户打开特制文件时,可能会利用此漏洞。删除 .jnt 文件类型关联
交互式方法:
请注意 ,错误地使用注册表编辑器可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 无法保证可以解决因不正确地使用注册表编辑器而导致的问题。 请慎用注册表编辑器,风险自负。 有关如何编辑注册表的信息,请查看注册表编辑器(Regedit.exe)中的“更改键和值”帮助主题,或在Regedt32.exe中查看“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。若要使用交互式方法删除 .jnt 文件类型关联,请执行以下步骤:
- 单击“开始”,再单击“运行”,键入“regedit& ”,然后单击“确定”。
- 展开HKEY_CLAS标准版S_ROOT,单击 jntfile,然后单击“文件”菜单,然后选择“导出”。
- 在 “导出注册表文件 ”对话框中,键入 jntfile HKCR 文件关联注册表backup.reg 并单击“ 保存”。 默认情况下,这将在“我的文档”文件夹中创建此注册表项的备份。
- 按键盘上的 Delete 键删除注册表项。 当系统提示删除注册表值时,单击“ 是”。
- 依次展开 HKEY_CURRENT_U标准版R、Software、Microsoft、Windows、CurrentVersion、Explorer 和 FileExts。
- 单击 .jnt ,然后单击 “文件 ”菜单,然后选择“ 导出”。
- 在 “导出注册表文件 ”对话框中,键入 .jntHKCU 文件关联注册表backup.reg ,然后单击“ 保存”。 默认情况下,这将在“我的文档”文件夹中创建此注册表项的备份。
- 按键盘上的 Delete 键删除注册表项。 当系统提示删除注册表值时,单击“ 是”。
使用托管脚本:
请注意 ,错误地使用注册表编辑器可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 无法保证可以解决因不正确地使用注册表编辑器而导致的问题。 请慎用注册表编辑器,风险自负。 有关如何编辑注册表的信息,请查看注册表编辑器(Regedit.exe)中的“更改键和值”帮助主题,或在Regedt32.exe中查看“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。
若要使用交互式托管脚本删除 .jnt 文件类型关联,请执行以下步骤:
首先,使用托管部署脚本和以下命令创建注册表项的备份副本:
Regedit.exe /e jntfile_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\jntfile Regedit.exe /e jnt_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt
接下来,将以下内容保存到扩展名为.reg的文件(例如,Delete_jnt_file_association.reg):
Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\jntfile] -HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt]
运行以下命令,在目标计算机上运行在步骤 2 中创建的上述注册表脚本:
Regedit.exe /s Delete_jnt_file_association.reg
解决方法的影响。 双击 .jnt 文件将不再启动journal.exe。
如何撤消解决方法:
使用注册表编辑器还原注册表项以还原保存在其中的设置。REG 文件。
- 通过禁用安装 Windows 的 Windows 功能来删除 Windows 日记
在 Windows Vista 和 Windows 7 系统上,请执行以下步骤:
- 单击“开始”,单击控制面板,然后单击“程序”。
- 单击“打开或关闭 Windows 功能”,然后清除平板电脑可选组件(Windows Vista 系统)或平板电脑组件(Windows 7 系统)的检查框。
- 单击“确定”。
解决方法的影响。 Windows 日记已从系统中删除。
如何撤消解决方法:
若要在 Windows Vista 或 Windows 7 系统上重新安装 Windows 日记,请执行以下步骤:
- 单击“开始”,单击控制面板,然后单击“程序”。
- 单击“打开或关闭 Windows 功能”,然后选择平板电脑可选组件(Windows Vista 系统)或平板电脑组件(Windows 7 系统)的检查框。
- 单击“确定”。
拒绝访问Journal.exe
若要拒绝访问Journal.exe,请在管理命令提示符处输入以下命令:
``` > takeown.exe /f "%ProgramFiles%\Windows Journal\Journal.exe"` > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /deny everyone:(F) ```
解决方法的影响。 Windows 日记变得不可访问。
如何撤消解决方法:
若要恢复对Journal.exe的访问权限,请在管理命令提示符处输入以下命令:
> icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /remove:d everyone
安全更新部署
有关安全更新部署信息,请参阅“执行摘要”中此处引用的 Microsoft 知识库文章。
致谢
Microsoft 认识到安全社区中那些帮助我们通过协调漏洞披露来保护客户的努力。 有关详细信息,请参阅确认。
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2015 年 11 月 10 日):公告已发布。
页面生成的 2015-11-24 08:27-08:00。