TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	微軟安全通報
發佈日期	2011-06-16
標題	Microsoft 資訊安全公告 MS11-039 - 重大
CVE	CVE-2011-0664
BID
影響平台	Windows XP Service Pack 3 Windows XP Professional x64 Edition Service Pack 2 Windows Server 2003 Service Pack 2 Windows Server 2003 x64 Edition Service Pack 2 適用於 Itanium 型系統的 Windows Server 2003 SP2 Windows Vista Service Pack 1 Windows Vista Service Pack 2 Windows Vista x64 Edition Service Pack 1 Windows Vista x64 Edition Service Pack 2 適用於 32 位元系統的 Windows Server 2008 適用於 32 位元系統的 Windows Server 2008 Service Pack 2 適用於 x64 型系統的 Windows Server 2008 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 適用於 Itanium 型系統的 Windows Server 2008 適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 適用於 32 位元系統的 Windows 7 適用於 32 位元系統的 Windows 7 Service Pack 1 適用於 x64 型系統的 Windows 7 適用於 x64 型系統的 Windows 7 Service Pack 1 適用於 x64 型系統的 Windows Server 2008 R2 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 適用於 Itanium 型系統的 Windows Server 2008 R2 適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1
說明	Microsoft .NET Framework 中存在遠端執行程式碼的資訊安全風險，可允許蓄意製作的 Microsoft .NET 應用程式以不安全的方式存取記憶體。成功利用此資訊安全風險的攻擊者可在已登入使用者的安全性內容中執行任意程式碼。攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。
解決方式	因應措施指的是無法徹底修正資訊安全風險，但有助於在套用更新之前封鎖已知攻擊模式的設定變更。 Microsoft 測試了下列因應措施和狀態，討論因應措施是否會降低功能： •停用部分信任的 Microsoft .NET 應用程式若要停用以部分信任執行的所有 Microsoft .NET 應用程式，包含網路上的 XAML 瀏覽器應用程式 (XBAP) 和 Microsoft .NET 應用程式，請從已提高權限的命令提示字元執行下列命令： caspol –pp off caspol –m –resetlockdown caspol –pp on 注意：您必須以系統管理員身分登入，或必須擁有系統管理認證才能完成此因應措施。因應措施的影響。 Microsoft .NET 應用程式可能無法執行。如何復原因應措施：若要將 Microsoft .NET 安全性原則重設為預設值，請從已提高權限的命令提示字元執行下列命令： caspol –pp off caspol –m –reset caspol –pp on 注意：您必須以系統管理員身分登入，或必須擁有系統管理認證才能復原此因應措施。 • 停用 Internet Explorer 中的 XAML 瀏覽器應用程式為防範這個資訊安全風險，只要將設定變更為在執行網際網路及近端內部網路安全性區域內的 XAML 瀏覽器應用程式 (XBAP) 之前先提示，或者停用 XBAP。步驟如下所示： 1.在 Internet Explorer 中，按一下 [工具] 功能表，然後選取 [網際網路選項]。 2.按一下 [安全性] 索引標籤，再依序按 [網際網路] 及 [自訂等級]。在 [設定] 下，對於 [鬆散的 XAML]，按一下 [提示] 或 [停用]，然後按 [確定]。 3.按一下 [安全性] 索引標籤，再依序按 [網際網路] 及 [自訂等級]。在 [設定] 下，對於 [XAML 瀏覽器應用程式]，按一下 [提示] 或 [停用]，然後按 [確定]。 4.按一下 [安全性] 索引標籤，再依序按 [網際網路] 及 [自訂等級]。在 [設定] 下，對於 [XPS 文件]，按一下 [提示] 或 [停用]，然後按 [確定]。 5.在 [安全性] 索引標籤中，按一下 [自訂層級]。在 [.NET Framework 相依元件] 底下，將 [執行沒有使用 Authenticode 簽署的元件] 設定為 [提示] 或 [停用]，然後按一下 [確定]。針對 [執行使用 Authenticode 簽署的元件] 重複此步驟，然後按一下 [確定]。 6.按一下 [近端內部網路]，然後按 [自訂層級]。重複步驟 3 和 4。如果系統提示向您確認是否要變更這些設定值，請按 [是]。按一下 [確定] 回到 Internet Explorer。因應措施的影響。 Microsoft .NET 程式碼不會在 Internet Explorer 中執行，或不會在未提示時執行。在網際網路和近端內部網路安全性區域中停用 Microsoft .NET 應用程式和元件，可能會導致部分網站無法正確運作。如果變更這項設定之後，您在使用網站時遇到問題，而又確定該網站安全無虞能放心使用，便可將該網站加入信任的網站清單中。這樣就能讓網站正確運作。將信任的網站加入 Internet Explorer [信任的網站] 區域當您完成設定，使 Internet Explorer 在網際網路區域及近端內部網路區域執行 ActiveX 控制項及動態指令碼處理前會顯示提示之後，即可將信任的網站加入 Internet Explorer [信任的網站] 區域。之後您就可以依照平時習慣使用信任的網站，同時預防不信任網站的這類攻擊。我們建議您只將信任的網站加入 [信任的網站] 區域。若要如此做，請執行下列步驟： 1.在 Internet Explorer 中，依序按一下 [工具] 及 [網際網路選項]，然後按一下 [安全性] 索引標籤。 2.在 [請選擇網頁內容區域來指定它的資訊安全設定] 方塊中，按一下 [信任的網站]，然後按 [網站]。 3.如果您要加入的網站不需要加密通道，請按一下滑鼠清除 [此區域內的所有網站需要伺服器驗證 (https:)] 核取方塊。 4.在 [將此網站加到該區域] 方塊中，鍵入信任網站的 URL，然後按一下 [新增]。 5.為每一個要加入此區域的網站重複以上步驟。 6.按兩次 [確定] 接受所有變更，回到 Internet Explorer。注意：您可以加入任何您相信不會對您的系統進行惡意動作的網站。建議您加入 .windowsupdate.microsoft.com 與 .update.microsoft.com 這兩個網站。這些網站提供各項更新，並需要 ActiveX 控制項才能安裝更新。如何復原因應措施：執行下列步驟： 1.在 Internet Explorer 中，按一下 [工具] 功能表，然後選取 [網際網路選項]。 2.按一下 [安全性] 索引標籤，按一下 [將所有區域重設為預設等級]，然後按一下 [確定]。 •暫時避免在 Internet Explorer 中執行 Microsoft Silverlight ActiveX 控制項 (方法 1) 您可以設定控制項的 Kill Bit (刪除位元)，暫時避免在 Internet Explorer 中產生 Silverlight ActiveX 控制項的嘗試動作，藉此防範這些資訊安全風險。警告：如果使用「登錄編輯程式」的方式錯誤，可能造成嚴重問題，以致於您必須重新安裝作業系統。 Microsoft 無法保證您可以解決因為不正確使用 [登錄編輯程式] 所造成的問題。請自行承擔使用 [登錄編輯程式] 的風險。我們建議您在編輯登錄之前先行備份。使用下列文字建立 .reg 檔案，此檔案可暫時避免在 Internet Explorer 中產生 Silverlight ActiveX 控制項。您可以複製下列文字，貼到 [記事本] 之類的文字編輯程式，然後使用 .reg 副檔名存檔。在有資訊安全風險的用戶端上執行 .reg 檔案。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{DFEAF541-F3E1-4C24-ACAC-99C30715084A}] "Compatibility Flags"=dword:00000400 關閉 Internet Explorer 後再重新開啟，讓變更生效。如需在 Internet Explorer 中停止執行控制項的詳細步驟，請參閱 Microsoft 知識庫文件編號 240797。按照這些步驟，在登錄中建立相容性旗標值，以避免在 Internet Explorer 中執行 Silverlight ActiveX 控制項。因應措施的影響。需要使用到 Microsoft Silverlight ActiveX 控制項的應用程式和網站，可能會無法正常運作。若執行此項因應措施，將會影響您系統上所有已安裝的 Silverlight ActiveX 控制項。如何復原因應措施：移除新增的登錄機碼，暫時避免在 Internet Explorer 中產生 Silverlight ActiveX 控制項。 •暫時避免在 Firefox 或 Chrome 中執行 Microsoft Silverlight ActiveX 控制項若要修改登錄機碼以停用 Microsoft Silverlight，請依照下列步驟進行：注意：不當使用「登錄編輯程式」可能會造成嚴重的問題，甚至可能需要重新安裝您的作業系統。 Microsoft 無法保證能夠順利解決因不當使用「登錄編輯程式」所造成的問題。請自行承擔使用 [登錄編輯程式] 的風險。如需有關如何編輯登錄的資訊，請檢視「登錄編輯程式」(Regedit.exe) 中的＜變更機碼及數值＞說明主題，或是 Regedt32.exe 中的＜新增及刪除登錄中的資訊＞與＜編輯登錄資料＞說明主題。 •使用互動方法 1.依序按一下 [開始]、[執行]，在 [開啟] 方塊中輸入 Regedit，然後按一下 [確定]。 2.找出並按一下下列登錄子機碼： HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0 3.在 [@Microsoft.com/NpCtrl,version=1.0] 上按一下滑鼠右鍵，然後選取 [匯出]。將檔案存在磁片。 4.刪除整個 @Microsoft.com/NpCtrl,version=1.0 機碼。 5.結束登錄編輯器。 •使用登錄檔案 1.建立登錄機碼的備份複本。您可以使用下列命令，以受管理部署指令碼製作備份複本： Regedit.exe /e SL_backup.reg HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0 2.將下列登錄機碼儲存到副檔名為 .REG 的檔案中 (例如 Disable_Silverlight.reg)： Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0] 3.使用下述命令，在目標系統上執行步驟 2 所建立的登錄指令碼： Regedit /s Disable_Silverlight.reg 如何復原因應措施： •使用互動方法 1.依序按一下 [開始]、[執行]，在 [開啟] 方塊中輸入 Regedit，然後按一下 [確定]。 2.在 [檔案] 功能表上，按一下匯入。 3.在 [查詢] 中選取您先前匯出的檔案之所在磁碟、資料夾或網路電腦與資料夾。 4.選取正確的檔案名稱，然後按一下 [開啟]。 •使用管理的部署指令碼使用下列命令來還原在上述步驟 1「使用登錄檔案」中備份的檔案： Regedit /s SL_backup.reg
相關資訊連結	http://www.microsoft.com/taiwan/technet/security/bulletin/ms11-039.mspx
相關修正資訊連結