Microsoft 安全公告 MS16-056 - 严重

  • 项目

Windows 日记的安全更新(3156761)

发布时间: 2016 年 5 月 10 日

版本: 1.0

执行摘要

此安全更新可解决 Microsoft Windows 中的漏洞。 如果用户打开专门制作的日记文件,该漏洞可能会允许远程代码执行。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。

对于所有受支持的 Windows Vista、Windows 7、Windows 8.1、Windows RT 8.1 和 Windows 10 版本,此安全更新都被评为“严重”。 有关详细信息,请参阅 “受影响的软件 ”部分。

此更新通过修改 Windows 日记分析日记文件的方式来解决漏洞。 有关漏洞的详细信息,请参阅 “漏洞信息 ”部分。

有关此更新的详细信息,请参阅 Microsoft 知识库文章3156761

受影响的软件和漏洞严重性分级

以下软件版本或版本受到影响。 未列出的版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期

每个受影响的软件所指示的严重性分级假定该漏洞的潜在最大影响。 有关此安全公告发布 30 天内漏洞的可利用性及其严重性评级和安全影响的信息,请参阅 5 月公告摘要中的“可利用性索引”。

受影响的软件 Windows 日记内存损坏漏洞 - CVE-2016-0182 已替换汇报*
Windows Vista
Windows Vista Service Pack 2 (3155178) 关键 远程代码执行
Windows Vista x64 Edition Service Pack 2 (3155178) 关键 远程代码执行
Windows 7
Windows 7 for 32 位系统 Service Pack 1 (3155178) 关键 远程代码执行
基于 x64 的系统 Service Pack 1 的 Windows 7 (3155178) 关键 远程代码执行
Windows 8.1
适用于 32 位系统的 Windows 8.1 (3155178) 关键 远程代码执行
基于 x64 的系统 (3155178) 的 Windows 8.1 关键 远程代码执行
Windows RT 8.1
Windows RT 8.1[1](3155178) 关键 远程代码执行
Windows 10
Windows 10 for 32 位系统[2](3156387) 关键 远程代码执行 3147461
基于 x64 的系统 Windows 10[2](3156387) 关键 远程代码执行 3147461
适用于 32 位系统的 Windows 10 版本 1511[2](3156421) 关键 远程代码执行 3147458
基于 x64 的系统 Windows 10 版本 1511[2](3156421) 关键 远程代码执行 3147458

[1]Windows RT 8.1 更新只能通过Windows 更新使用。

[2]Windows 10 更新是累积更新。 每月安全版本包括影响 Windows 10 的漏洞的所有安全修补程序,以及非安全更新。 可通过 Microsoft 更新目录获取这些更新。

*汇报替换列仅显示被取代更新链中的最新更新。 有关替换的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库(KB)编号,然后查看更新详细信息(更新替换的信息是在“程序包详细信息”选项卡上提供的)。

漏洞信息

Windows 日记内存损坏漏洞 - CVE-2016-0182

在 Windows 日记中打开特制日记文件时,Microsoft Windows 中存在远程代码执行漏洞。 成功利用此漏洞的攻击者可能会导致任意代码在当前用户的上下文中执行。 如果用户使用管理用户权限登录,攻击者可以控制受影响的系统。 然后,攻击者可以安装程序;查看、更改或删除数据,或使用完全用户权限创建新帐户。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。

若要使攻击成功,此漏洞要求用户打开具有受影响版本的 Windows 日记的特制日记文件。 在电子邮件攻击方案中,攻击者可以通过向用户发送专门制作的日记文件,然后说服用户打开该文件来利用漏洞。 此更新通过修改 Windows 日记分析日记文件的方式来解决漏洞。

下表包含指向常见漏洞和公开列表中的每个漏洞的标准条目的链接:

漏洞标题 CVE 编号 公开披露 利用
Windows 日记内存损坏漏洞 CVE-2016-0182

缓解因素

Microsoft 尚未识别此漏洞的任何 缓解因素

解决方法

以下解决方法可能对你的情况有所帮助:

  • 不打开可疑文件附件
    不要打开从不受信任的源收到的 Windows 日记 (.jnt) 文件,或者从受信任的源意外收到的文件。 当用户打开特制文件时,可能会利用此漏洞。

    在 WindowsVistaWindows 7

    1. 依次单击“开始”、“控制面板”和“程序” 。
    2. 单击“打开或关闭 Windows 功能”。
    3. 取消检查平板电脑组件Windows Vista 系统上的平板电脑可选组件)。
    4. 单击“确定”。

解决方法的影响。  用户将无法使用 Windows 日记或其他平板电脑组件。

请注意 ,Windows 8.1 不提供禁用 Windows 日记的机制。

如何撤消解决方法

  1. 依次单击“开始”、“控制面板”和“程序” 。
  2. 单击“打开或关闭 Windows 功能”。
  3. 检查 平板电脑组件Windows Vista 系统上的平板电脑可选组件 )。
  4. 单击“确定”。

  • 删除 .jnt 文件类型关联

    交互式方法:
    请注意 ,错误地使用注册表编辑器可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 无法保证可以解决因不正确地使用注册表编辑器而导致的问题。 请慎用注册表编辑器,风险自负。 有关如何编辑注册表的信息,请查看注册表编辑器(Regedit.exe)中的“更改键和值”帮助主题,或在Regedt32.exe中查看“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

    若要使用交互式方法删除 .jnt 文件类型关联,请执行以下步骤:

    1. 单击“开始”,再单击“运行”,键入“regedit& ”,然后单击“确定”。
    2. 展开HKEY_CLAS标准版S_ROOT,单击 jntfile,然后单击“文件”菜单,然后选择“导出”。
    3. “导出注册表文件 ”对话框中,键入 jntfile HKCR 文件关联注册表backup.reg 并单击“ 保存”。 默认情况下,这将在“我的文档”文件夹中创建此注册表项的备份。
    4. 按键盘上的 Delete 键删除注册表项。 当系统提示删除注册表值时,单击“ ”。
    5. 依次展开 HKEY_CURRENT_U标准版RSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts
    6. 单击 .jnt ,然后单击 “文件 ”菜单,然后选择“ 导出”。
    7. “导出注册表文件 ”对话框中,键入 .jntHKCU 文件关联注册表backup.reg ,然后单击“ 保存”。 默认情况下,这将在“我的文档”文件夹中创建此注册表项的备份。
    8. 按键盘上的 Delete 键删除注册表项。 当系统提示删除注册表值时,单击“ ”。  

    使用托管脚本:
    请注意 ,错误地使用注册表编辑器可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 无法保证可以解决因不正确地使用注册表编辑器而导致的问题。 请慎用注册表编辑器,风险自负。 有关如何编辑注册表的信息,请查看注册表编辑器(Regedit.exe)中的“更改键和值”帮助主题,或在Regedt32.exe中查看“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

    若要使用交互式托管脚本删除 .jnt 文件类型关联,请执行以下步骤:

    1. 使用托管部署脚本和以下命令创建注册表项的备份副本:

          Regedit.exe /e jntfile_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\jntfile  
    Regedit.exe /e jnt_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt

    2. 将以下内容保存到扩展名为.reg的文件(例如,Delete_jnt_file_association.reg):

          Windows Registry Editor Version 5.00  
    [-HKEY_CLASSES_ROOT\jntfile]  
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt]

    3. 运行以下命令,在目标计算机上运行在步骤 2 中创建的上述注册表脚本:

        Regedit.exe /s Delete_jnt_file_association.reg
```     

解决方法的影响。 双击 .jnt 文件将不再启动journal.exe。

如何撤消解决方法:

使用注册表编辑器还原注册表项以还原保存在其中的设置。REG 文件。  

  • 通过禁用安装 Windows 的 Windows 功能来删除 Windows 日记
    在 Windows Vista 和 Windows 7 系统上,请执行以下步骤:

    1. 单击“开始,单击控制面板,然后单击“程序”。
    2. 单击“打开或关闭 Windows 功能”,然后清除平板电脑可选组件(Windows Vista 系统)或平板电脑组件(Windows 7 系统)的检查框
    3. 单击“确定”。  

    解决方法的影响。 Windows 日记已从系统中删除。

    如何撤消解决方法:

    若要在 Windows Vista 或 Windows 7 系统上重新安装 Windows 日记,请执行以下步骤:

    1. 单击“开始,单击控制面板,然后单击“程序”。
    2. 单击“打开或关闭 Windows 功能”,然后选择平板电脑可选组件(Windows Vista 系统)或平板电脑组件(Windows 7 系统)的检查框
    3. 单击“确定”。  

  • 拒绝访问Journal.exe
    若要拒绝访问Journal.exe,请在管理命令提示符处输入以下命令:

        > takeown.exe /f "%ProgramFiles%\Windows Journal\Journal.exe"  
    > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /deny everyone:(F)

    解决方法的影响。 Windows 日记变得不可访问。

    如何撤消解决方法:

    若要恢复对Journal.exe的访问权限,请在管理命令提示符处输入以下命令:

        > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /remove:d everyone

安全更新部署

有关安全更新部署信息,请参阅“执行摘要”中引用的 Microsoft 知识库文章。

致谢

Microsoft 认识到安全社区中那些帮助我们通过协调漏洞披露来保护客户的努力。 有关详细信息,请参阅确认。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修订

  • V1.0(2016 年 5 月 10 日):公告已发布。

页面生成的 2016-05-05 17:01-07:00。