TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	微軟安全通報
發佈日期	2011-06-16
標題	Microsoft 資訊安全公告 MS11-041 - 重大
CVE	CVE-2011-1873
BID
影響平台	Windows XP Professional x64 Edition Service Pack 2 Windows Server 2003 x64 Edition Service Pack 2 適用於 Itanium 型系統的 Windows Server 2003 SP2 Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2 適用於 x64 型系統的 Windows Server 2008 和適用於 x64 型系統的 Windows Server 2008 Service Pack 2 適用於 Itanium 型系統的 Windows Server 2008 和適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 適用於 x64 型系統的 Windows 7 和適用於 x64 型系統的 Windows 7 Service Pack 1 適用於 x64 型系統的 Windows Server 2008 R2 和適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 適用於 Itanium 型系統的 Windows Server 2008 R2 和適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1
說明	由於 Windows 核心模式驅動程式在 64 位元系統上剖析蓄意製作之 OpenType 字型的方式不當，因而存在遠端執行程式碼資訊安全風險。成功利用此資訊安全風險的攻擊者可以在核心模式下執行任意程式碼。接下來，攻擊者就能安裝程式，檢視、變更或刪除資料，或是建立具有完整系統管理權限的新帳戶。
解決方式	因應措施指的是無法徹底修正資訊安全風險，但有助於在套用更新之前封鎖已知攻擊模式的設定變更。 Microsoft 測試了下列因應措施和狀態，討論因應措施是否會降低功能： •停用 WebClient 服務停用 WebClient 服務可封鎖最可能透過 Web Distributed Authoring and Versioning (WebDAV) 用戶端服務進行的遠端攻擊模式，藉以協助保護受影響的系統，使不會遭到利用此資訊安全風險的攻擊。採取此因應措施後，成功地利用此資訊安全風險的遠端攻擊者仍可能導致系統執行目標使用者的電腦或區域網路 (LAN) 上的程式，但系統會先提示使用者確認，才會從網際網路開啟任意的程式。若要停用 WebClient 服務，請執行下列步驟： 1.按一下 [開始]，按一下 [執行]，鍵入 Services.msc，然後按一下 [確定]。 2.在 [WebClient service] 上按一下滑鼠右鍵，然後選取 [內容]。 3.將 [啟動類型] 變更為 [停用]。若正在執行服務，請按一下 [停止]。 4.按一下 [確定] 並結束管理應用程式。因應措施的影響。停用 WebClient 服務時，不會傳送 Web Distributed Authoring and Versioning (WebDAV) 要求。此外，任何明確依賴網路用戶端服務的服務將不能啟動，系統記錄檔也會記錄錯誤訊息。例如，用戶端電腦將無法存取 WebDAV 共用。如何復原因應措施：若要重新啟用 WebClient 服務，請執行下列步驟： 1.按一下 [開始]，按一下 [執行]，鍵入 Services.msc，然後按一下 [確定]。 2.在 [WebClient service] 上按一下滑鼠右鍵，然後選取 [內容]。 3.將 [啟動類型] 變更為 [自動]。若未執行服務，請按一下 [啟動]。 4.按一下 [確定] 並結束管理應用程式。 •在 Windows 檔案總管中停用預覽窗格和詳細資料窗格在 Windows 檔案總管中停用預覽和詳細資料窗格後，即可避免在 Windows 檔案總管中自動顯示 OTF 字型。這可避免在 Windows 檔案總管中檢視惡意檔案，但無法避免通過驗證的本機使用者執行蓄意製作的程式來利用這項資訊安全風險。若要在 Windows Vista、Windows Server 2008，Windows 7 及 Windows Server 2008 R2 中停用這些窗格，請執行下列步驟： 1.開啟 Windows 檔案總管，按一下 [組合管理]，然後按一下 [版面配置]。 2.清除 [詳細資料窗格] 和 [預覽窗格] 功能表選項。 3.按一下 [組合管理]，然後按一下 [資料夾和搜尋選項]。 4.按一下 [檢視] 索引標籤。 5.在 [進階設定] 下方，核取 [一律顯示圖示，不顯示縮圖] 方塊。 6.關閉所有開啟的 Windows 檔案總管執行個體，使變更生效。因應措施的影響。 Windows 檔案總管將不會自動顯示 OTF 字型。如何復原因應措施：若要在 Windows Vista、Windows Server 2008、Windows 7 及 Windows Server 2008 R2 中重新啟用 Windows 檔案總管的預覽和詳細資料窗格： 1.開啟 Windows 檔案總管，按一下 [組合管理]，然後按一下 [版面配置]。 2.選取 [詳細資料窗格] 和 [預覽窗格] 功能表選項。 3.按一下 [組合管理]，然後按一下 [資料夾和搜尋選項]。 4.按一下 [檢視] 索引標籤。 5.在 [進階設定] 下方，清除 [一律顯示圖示，不顯示縮圖] 方塊。 6.關閉所有開啟的 Windows 檔案總管執行個體，使變更生效。 •在防火牆中封鎖 TCP 連接埠 139 和 445 上述連接埠用於起始與受影響元件的連線。在防火牆封鎖 TCP 連接埠 139 與 445 有助於保護防火牆後方的系統免遭此資訊安全風險的攻擊。 Microsoft 建議您封鎖所有網際網路中來路不明的輸入通訊，以防他人利用其他連接埠攻擊系統。如需更多關於連接埠的資訊，請參閱 TechNet 文章 TCP 和 UDP 連接埠的指派 (英文)。因應措施的影響。幾項 Windows 服務均有使用這些受影響的連接埠。封鎖這些連接埠的連線，可能會導致多個應用程式和服務無法正常運作。可能受影響的一些應用程式或服務如下所列： •使用 SMB (CIFS) 的應用程式 •使用郵件插槽或具名管道 (SMB 上的 RPC) 的應用程式 •Server (檔案和列印共用) •群組原則 •Net Logon •Distributed File System (DFS) •Terminal Server Licensing •Print Spooler •Computer Browser •Remote Procedure Call Locator •Fax Service •Indexing Service •Performance Logs and Alerts •Systems Management Server •License Logging Service
相關資訊連結	http://www.microsoft.com/taiwan/technet/security/bulletin/ms11-041.mspx
相關修正資訊連結