TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	微軟安全通報
發佈日期	2011-06-16
標題	Microsoft 資訊安全公告 MS11-038 - 重大
CVE	CVE-2011-0658
BID
影響平台	Windows XP Service Pack 3 Windows XP Professional x64 Edition Service Pack 2 Windows Server 2003 Service Pack 2 Windows Server 2003 x64 Edition Service Pack 2 適用於 Itanium 型系統的 Windows Server 2003 SP2 Windows Vista Service Pack 1 和 Windows Vista Service Pack 2 Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2 適用於 32 位元系統的 Windows Server 2008 和適用於 32 位元系統的 Windows Server 2008 Service Pack 2 適用於 x64 型系統的 Windows Server 2008 和適用於 x64 型系統的 Windows Server 2008 Service Pack 2 適用於 Itanium 型系統的 Windows Server 2008 和適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 適用於 32 位元系統的 Windows 7 和適用於 32 位元系統的 Windows 7 Service Pack 1 適用於 x64 型系統的 Windows 7 和適用於 x64 型系統的 Windows 7 Service Pack 1 適用於 x64 型系統的 Windows Server 2008 R2 和適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 適用於 Itanium 型系統的 Windows Server 2008 R2 和適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1
說明	物件連結與嵌入 (OLE) Automation 中存在遠端執行程式碼的資訊安全風險。成功利用此資訊安全風險的攻擊者可以取得與登入使用者相同的使用者權限。如果使用者以系統管理的使用者權限登入，則攻擊者即可取得受影響系統的完整控制權。攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。
解決方式	因應措施指的是無法徹底修正資訊安全風險，但有助於在套用更新之前封鎖已知攻擊模式的設定變更。 Microsoft 測試了下列因應措施和狀態，討論因應措施是否會降低功能： •限制存取 VBScript.dll 若要限制存取 VBScript.dll，請從命令提示字元執行下列命令：適用於 Windows XP (32 位元系統)： cacls %windir%\system32\vbscript.dll /E /P everyone:N 適用於 Windows XP (64 位元系統)： cacls %windir%\syswow64\vbscript.dll /E /P everyone:N 適用於 Windows Vista 及更新版本 (32 位元系統)： takeown /f %windir%\system32\vbscript.dll cacls %windir%\system32\vbscript.dll /E /P everyone:N 適用於 Windows Vista 及更新版本 (64 位元系統)： takeown /f %windir%\syswow64\vbscript.dll cacls %windir%\syswow64\vbscript.dll /E /P everyone:N 因應措施的影響。需要 VBScript 的網頁及其他應用程式可能無法正確顯示。如何復原因應措施：若要復原因應措施，請從命令提示字元執行下列命令：適用於 Windows XP (32 位元系統)： cacls %windir%\system32\vbscript.dll /E /R everyone 適用於 Windows XP (64 位元系統)： cacls %windir%\syswow64\vbscript.dll /E /R everyone 適用於 Windows Vista 及更新版本 (32 位元系統)： cacls %windir%\system32\vbscript.dll /E /R everyone 適用於 Windows Vista 及更新版本 (64 位元系統)： cacls %windir%\syswow64\vbscript.dll /E /R everyone •將 [網際網路] 及 [近端內部網路] 安全性區域設定為 [高]，可封鎖這些區域中的 ActiveX 控制項及動態指令碼處理只要將網際網路安全性區域設定變更為封鎖 ActiveX 控制項及動態指令碼處理，即可防範這個資訊安全風險遭到利用。作法是將瀏覽器的資訊安全設定為 [高]。若要在 Internet Explorer 中提高瀏覽器的安全層級，請執行下列步驟： 1.在 Internet Explorer 的 [工具] 功能表，按一下 [網際網路選項]。 2.在 [網際網路選項] 對話方塊中，按一下 [安全性] 索引標籤，再按 [網際網路] 圖示。 3.在 [此區域的安全性等級] 下方，將滑桿移至 [高]。如此即可將您所造訪的所有網站都設定為 [高] 安全層級注意：如果沒有顯示滑桿，按一下 [預設等級]，再將滑桿移至 [高]。注意：設定為 [高安全性] 層級可能會使部分網站無法正確運作。如果變更這項設定之後，您在使用網站時遇到問題，而又確定該網站安全無虞能放心使用，便可將該網站加入信任的網站清單中。如此一來，即使採用 [高] 設定，該網站仍可正確運作。因應措施的影響。封鎖 ActiveX 控制項和動態指令碼處理會產生副作用。許多網際網路及內部網路的網站使用 ActiveX 或動態指令碼提供額外的功能。例如，線上電子商務網站或銀行網站會利用 ActiveX 控制項提供功能表、訂單、甚至是帳戶明細。封鎖 ActiveX 控制項或動態指令碼處理是一種通用設定，該設定會影響所有網際網路及內部網路網站。如果您不希望封鎖這些網站的 ActiveX 控制項或動態指令碼處理，請使用「將信任的網站加入 Internet Explorer [信任的網站] 區域」的步驟。將信任的網站加入 Internet Explorer [信任的網站] 區域當您完成設定，使 Internet Explorer 在網際網路區域及近端內部網路區域封鎖 ActiveX 控制項及動態指令碼處理之後，即可將信任的網站加入 Internet Explorer [信任的網站] 區域。之後您就可以依照平時習慣使用信任的網站，同時預防不信任網站的這類攻擊。我們建議您只將信任的網站加入 [信任的網站] 區域。若要如此做，請執行下列步驟： 1.在 Internet Explorer 中，依序按一下 [工具] 及 [網際網路選項]，然後按一下 [安全性] 索引標籤。 2.在 [請選擇網頁內容區域來指定它的資訊安全設定] 方塊中，按一下 [信任的網站]，然後按 [網站]。 3.如果您要加入的網站不需要加密通道，請按一下滑鼠清除 [此區域內的所有網站需要伺服器驗證 (https:)] 核取方塊。 4.在 [將此網站加到該區域] 方塊中，鍵入信任網站的 URL，然後按一下 [新增]。 5.為每一個要加入此區域的網站重複以上步驟。 6.按兩次 [確定] 接受所有變更，回到 Internet Explorer。注意：您可以加入任何您相信不會對您的系統進行惡意動作的網站。建議您加入 .windowsupdate.microsoft.com 與 .update.microsoft.com 這兩個網站。這些網站提供各項更新，並需要 ActiveX 控制項才能安裝更新。 •設定 Internet Explorer，以便在執行動態指令碼之前先行提示或停用網際網路及近端內部網路安全性區域內的動態指令碼只要將設定變更為在執行或停用網際網路及近端內部網路安全性區域內的動態指令碼之前先提示，即可防範這個資訊安全風險遭到利用。若要如此做，請執行下列步驟： 1.在 Internet Explorer 中，按一下 [工具] 功能表的 [網際網路選項] 2.按一下 [安全性] 索引標籤 3.按一下 [網際網路]，然後按 [自訂等級]。 4.在 [設定] 的 [指令碼處理] 區段中，按一下 [Active Scripting] 下的 [提示] 或 [停用]，然後按一下 [確定]。 5.按一下 [近端內部網路]，然後按 [自訂層級]。 6.在 [設定] 的 [指令碼處理] 區段中，按一下 [Active Scripting] 下的 [提示] 或 [停用]，然後按一下 [確定]。 7.按兩次 [確定] 回到 Internet Explorer。
相關資訊連結	http://www.microsoft.com/taiwan/technet/security/bulletin/ms11-038.mspx
相關修正資訊連結