TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	微軟安全通報
發佈日期	2013-07-10
標題	Microsoft Security Bulletin MS13-052 - 重大 .NET Framework 和 Silverlight 中的資訊安全風險可能會允許遠端執行程式碼
CVE	CVE-2013-3129 CVE-2013-3131 CVE-2013-3132 CVE-2013-3133 CVE-2013-3134 CVE-2013-3171 CVE-2013-3178
BID
影響平台	Windows XP 、 Windows Server 2003 、Windows Vista 、Windows Server 2008 、Windows 7 、Windows Server 2008 R2 、Windows 8 、 Windows Server 2012 、 Windows RT 、Server Core 安裝選項等已經過測試判斷哪些版號或版本會受到影響。其他版本超過它們的支援週期或不受影響。
說明	這個資訊安全更新可解決 Microsoft .NET Framework 和 Microsoft Silverlight 中五項未公開報告的資訊安全風險，以及兩項公開揭露的資訊安全風險。如果受信任的應用程式使用特定模式的程式碼，則其中最嚴重的資訊安全風險可能會允許遠端執行程式碼。成功利用此資訊安全風險的攻擊者可以取得與登入使用者相同的使用者權限。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。受影響的 Microsoft Windows 版本上，對於 Microsoft .NET Framework 1.0 Service Pack 3、Microsoft .NET Framework 1.1 Service Pack 1 和 .NET Framework 3.5 Service Pack 1 此資訊安全更新的等級為「重要」，對於 Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4 和 Microsoft .NET Framework 4.5 此資訊安全更新的等級為「重大」。對於受影響的 Microsoft Silverlight 5 版本，此資訊安全更新的等級為「重要」。此資訊安全更新可修正 Windows 處理蓄意製作之 TrueType 字型 (TTF) 檔案的方式，並修正 .NET Framework 處理小型結構的多維陣列、驗證執行反映之物件權限、配置物件陣列、處理部分信任資訊安全風險及初始化記憶體陣列之方式，藉此解決資訊安全風險。如需更多有關此資訊安全風險的資訊，請參閱下節＜資訊安全風險資訊＞下的特定資訊安全風險項目的＜常見問題集 (FAQ)＞小節。
解決方式	大部分客戶都已啟用自動更新，並且不必須採取任何行動，因為資訊安全更新將自動下載和安裝。沒有啟用自動更新的客戶則必須檢查更新，並手動安裝更新。如需有關自動更新中特定設定選項的資訊，請參閱 Microsoft 知識庫文件編號 294871。若是系統管理員和企業安裝，或是想要手動安裝此資訊安全更新的使用者，Microsoft 建議客戶使用更新管理軟體，立即套用更新，或使用 Microsoft Update 服務檢查更新。
相關資訊連結	http://technet.microsoft.com/zh-tw/security/bulletin/ms13-052
相關修正資訊連結	http://technet.microsoft.com/zh-tw/security/bulletin/ms13-052