发布日期: 2014 年 4 月 8 日 | 更新日期: 2014 年 6 月 27 日
版本: 1.1
一般信息摘要此安全更新可解决 Microsoft Windows 中一个公开披露的漏洞。如果用户从受信任的或不完全受信任的网络位置运行特制的 .bat 和 .cmd 文件,则该漏洞可能允许远程执行代码。攻击者无法强迫用户访问网络位置或运行特制文件。相反,攻击者必须说服用户执行此类操作。例如,攻击者可能诱使用户单击链接以使用户链接到攻击者的特制文件,随后诱使他们运行它们。
对于 Windows 所有受支持的版本,此安全更新的等级为“重要”。有关详细信息,请参阅本节中“受影响和不受影响的软件”小节。
该安全更新通过更正 Windows 处理从网络位置运行的 .bat 和 .cmd 文件的方式来解决漏洞。有关漏洞的详细信息,请参阅下一节“漏洞信息”下面特定漏洞条目的常见问题 (FAQ) 小节。
建议。 大多数客户均启用了自动更新,他们不必采取任何操作,因为此安全更新将自动下载并安装。尚未启用“自动更新”的客户必须检查更新,并手动安装此更新。有关自动更新中特定配置选项的信息,请参阅 Microsoft 知识库文章 294871。
对于管理员、企业安装或者想要手动安装此安全更新的最终用户,Microsoft 建议客户使用更新管理软件尽早应用此更新或者利用 Microsoft Update 服务检查更新。
另请参阅本公告后面部分中的“检测和部署工具及指导”一节。
知识库文章 知识库文章: 2922229 文件信息: 是 SHA1/SHA2 哈希: 是已知问题: 是 更新常见问题 我已经安装了适用于 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的 2919355 更新;我是否需要安装此公告中讨论的安全更新?
否。2014 年 4 月的 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 更新 (2919355) 是适用于 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的累积性更新。如果您已经安装 2919355 更新,则不需要安装 2922229 更新,因为 2919355 更新包括 2922229 更新中包含的修补程序。Microsoft 强烈建议客户安装 2919355 更新。有关详细信息,请参阅 Microsoft 知识库文章 2919355。
我正在使用本安全公告中讨论的软件的较旧版本。我该怎么办?
已对本公告中列出的受影响的软件进行测试,以确定受到影响的版本。其他版本的支持生命周期已结束。有关产品生命周期的详细信息,请参阅 Microsoft 产品技术支持生命周期网站。
使用该软件的较旧版本的客户应优先考虑迁移到受支持的版本,以防止可能会受到新出现漏洞的影响。要确定您的软件版本的技术支持生命周期,请参阅选择一项产品以获取生命周期信息。有关这些软件版本的 Service Pack 的详细信息,请参阅Service Pack 生命周期支持策略。
如果用户需要获得较旧软件的定制支持,则必须与其 Microsoft 客服小组代表、其技术客户经理或适当的 Microsoft 合作伙伴代表联系以了解定制支持选项。没有联合合同、优先支持合同或授权合同的客户可与其当地的 Microsoft 销售分支机构联系。有关联系信息,请参阅 Microsoft Worldwide Information 网站,在联系信息列表中选择国家/地区,然后单击“Go”以查看电话号码列表。在拨打电话时,请找当地的“企业技术咨询支持服务”销售经理进行洽谈。有关详细信息,请参阅 Microsoft 技术支持生命周期策略常见问题。
Windows 文件处理漏洞 - CVE-2014-0315Microsoft Windows 处理从外部网络运行的 .bat 和 .cmd 文件的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
要在“常见漏洞和披露”列表中以标准条目查看此漏洞,请参阅 CVE-2014-0315。
缓解因素缓解是指一种设置、通用配置或者一般的最佳实践,它以默认状态存在,能够降低利用漏洞的严重性。以下缓解因素在您遇到的情形中可能会有所帮助:
攻击者无法强迫用户访问网络位置或运行特制 .bat 或 .cmd 文件。相反,攻击者必须说服用户执行此类操作。例如,攻击者可能诱使用户单击链接以使用户链接到攻击者的特制文件,随后诱使他们运行它们。变通办法Microsoft 并未发现此漏洞的任何变通办法。
常见问题这些漏洞的影响范围有多大?
这是一个远程执行代码漏洞。
造成此漏洞的原因是什么?
此漏洞是由于 Windows 不正确地限制用于处理 .bat 和 .cmd 文件的路径导致的。
攻击者可能利用此漏洞执行什么操作?
成功利用此漏洞的攻击者可能以登录用户的身份运行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。如果用户使用管理用户权限登录,攻击者便可完全控制受影响的系统。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
攻击者如何利用此漏洞?
要尝试利用此漏洞,攻击者必须说服用户浏览到攻击者在其中放置恶意 .bat 和 .cmd 文件的受信任或不完全受信任的网络位置。攻击者必须说服用户从网络位置运行这些特制文件,该漏洞才会被利用。攻击者无法强迫用户访问网络位置或运行特制 .bat 或 .cmd 文件。相反,攻击者必须说服用户执行此类操作。例如,攻击者可能诱使用户单击链接以使用户链接到攻击者的特制文件,随后诱使他们运行它们。
受此漏洞威胁最大的系统有哪些?
此漏洞主要影响可能期望用户从不受信任的网络位置打开附件的工作站。如果管理员允许用户登录服务器并运行程序,服务器同样可能面临风险。不过,最佳做法是不要授予这样的权限。
此更新有什么作用?
该更新通过更正 Windows 处理从网络位置运行的 .bat 和 .cmd 文件的方式来解决漏洞。
发布此安全公告时,此漏洞是否已公开披露?
是。此漏洞已公开披露。已为此漏洞分配了常见漏洞和披露号码 CVE-2014-0315。
发布此安全公告时,Microsoft 是否收到任何有关此漏洞已被利用的报告?
否。在最初发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。
许多资源可帮助管理员部署安全更新。
管理员可使用 Microsoft Baseline Security Analyzer (MBSA) 在本地和远程系统中扫描缺少的安全更新和常见的安全配置错误。 Windows Server Update Services (WSUS)、Systems Management Server (SMS) 和 System Center Configuration Manager 帮助管理员分发安全更新。 Application Compatibility Toolkit 随附的更新兼容性评估程序组件针对安装的应用程序协助简化 Windows 更新的测试和验证。有关可用的这些工具和其他工具的信息,请参阅 IT 专业人员安全工具。
鸣谢Microsoft 感谢下列人员或组织与我们一起致力于保护客户的利益:
Stefan Kanthak 与我们合作处理了 Windows 文件处理漏洞 (CVE-2014-0315) 其他信息 Microsoft Active Protections Program (MAPP)为改进客户的安全保护,Microsoft 在发布每月安全更新之前将向主要的安全软件供应商提供漏洞信息。然后,安全软件供应商可以使用该漏洞信息通过其安全软件或者设备向客户提供更新的保护,例如防病毒、基于网络的入侵检测系统或者基于主机的入侵防止系统。要确定是否可从安全软件供应商处得到活动保护,请转到计划合作伙伴(在 Microsoft Active Protections Program (MAPP) 合作伙伴中列出)提供的活动保护网站。
支持如何获取此安全更新的帮助和支持
有关安装更新的帮助: Microsoft Update 支持面向 IT 专业人员的安全解决方案: TechNet 安全故障排除和支持帮助保护运行 Windows 的计算机免遭病毒和恶意软件攻击: 病毒解决方案和安全中心本地支持(根据您的国家/地区): 国际支持免责声明Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。