台灣微軟發佈一月定期資訊安全公告

(2012年1月11日,台北)台灣微軟公司今(十一)日發佈2012年一月份的資訊安全公告,本次的資訊安全公告有7個新的資訊安全更新程式MS12-001~ MS12-007,嚴重性等級為重大與重要。台灣微軟公司強烈呼籲所有用戶應立即使用「Windows Update自動更新」更新程式,避免惡意程式攻擊,或是立刻下載更新程式,以確保電腦使用的安全。詳細本月份安全公告資訊摘要請參考http://technet.microsoft.com/zh-tw/security/bulletin/ms12-jan

在本月的安全更新中,編號MS12-001更新程式可解決 Microsoft Windows 中一個未公開報告的資訊安全風險。這個資訊安全風險可能會允許攻擊者略過軟體應用程式中的 SafeSEH 安全功能。接著,攻擊者可能會使用其他資訊安全風險,運用結構化的例外處理常式執行任意程式碼。這個資訊安全更新會修改 Windows 核心載入結構化例外處理表的方式,藉此解決資訊安全風險。編號MS12-003更新程式可解決 Microsoft Windows 中一個未公開報告的弱點。如果攻擊者登入受影響的系統並執行蓄意製作的應用程式,這項資訊安全風險可能會允許權限提高。然後,攻擊者可能會取得受影響系統的完整控制權。這個資訊安全更新能變更 Client/Server Run-time Subsystem (CSRSS) 處理 Unicode 字元的方式,藉此解決資訊安全風險。編號MS12-004更新程式可解決 Microsoft Windows 中兩個未公開報告的風險。如果使用者開啟蓄意製作的媒體檔案,這些資訊安全風險可能會允許遠端執行程式碼。這個資訊安全更新會更正 Windows Media Player 處理蓄意製作的 MIDI 檔案的方式,以及 DirectShow 剖析媒體檔案的方式,藉此解決這些資訊安全風險。

由於本月所發現的資訊安全風險可能會造成有心人士藉此執行遠端程式碼,台灣微軟公司已積極通知客戶及合作夥伴立即部署MS12-001~MS12-007更新程式,將可能對客戶造成的影響降至最低。

微軟將於Windows Server Update Services (WSUS)、Windows Update(WU)及下載中心發行新版的 Microsoft Windows 惡意軟體移除工具。請注意,本工具將不會經由 Software Update Services (SUS) 發送。請參閱以下網址,取得有關 Microsoft Windows 惡意軟體移除工具的資訊:http://support.microsoft.com/kb/890830/zh-tw

Microsoft 今日也在 WU、MU及 WSUS 上發行非安全性高優先順序更新:如需有關今日發行的非安全性更新詳細資訊,請參閱知識庫文件:http://support.microsoft.com/kb/894199/zh-tw

本月資訊安全公告及更新程式公告如下:

新發行的公告

最高嚴重性 公告編號 受影響的產品 影響
重大 MS12-004 Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 遠端執行程式碼
重要 MS12-001 Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 部分安全功能被略過
重要 MS12-002 Microsoft Windows XP 和 Windows Server 2003 遠端執行程式碼
重要 MS12-003 Microsoft Windows XP、Windows Server 2003、Windows Vista和Windows Server 2008 權限提高
重要 MS12-005 Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 遠端執行程式碼
重要 MS12-006 Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 資訊洩漏
重要 MS12-007 Microsoft Developer Tools and Software 資訊洩漏

MS12-004Windows Media 中的資訊安全風險可能會允許遠端執行程式碼 (2636391)

最高嚴重性等級:重大。受影響的軟體:Windows XP (Windows XP Service Pack 3、Windows XP Media Center Edition 2005 Service Pack 3、Windows XP Professional x64 Edition Service Pack 2)、Windows Server 2003(Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition Service Pack 2、適用於 Itanium 型系統的 Windows Server 2003 SP2)、Windows Vista(Windows Vista Service Pack 2、Windows Vista x64 Edition Service Pack 2)、Windows Server 2008 (適用於 32 位元系統的 Windows Server 2008 Service Pack 2、適用於 x64 型系統的 Windows Server 2008 Service Pack 2、適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2)、Windows 7(適用於 32 位元系統的 Windows 7 和適用於 32 位元系統的 Windows 7 Service Pack 1、適用於 x64 型系統的 Windows 7 和適用於 x64 型系統的 Windows 7 Service Pack 1)、Windows Server 2008 R2(適用於 x64 型系統的 Windows Server 2008 R2 和適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1、適用於 Itanium 型系統的 Windows Server 2008 R2 和適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1)。

用戶可到以下網址下載更新程式:

http://technet.microsoft.com/zh-tw/security/bulletin/ms12-004

MS12-001Windows 核心中的資訊安全風險可能允許部分安全功能被略過 (2644615)

最高嚴重性等級:重要。受影響的軟體:Windows XP (Windows XP Professional x64 Edition Service Pack 2)、Windows Server 2003(Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition Service Pack 2、適用於 Itanium 型系統的 Windows Server 2003 SP2)、Windows Vista(Windows Vista Service Pack 2、Windows Vista x64 Edition Service Pack 2)、Windows Server 2008 (適用於 32 位元系統的 Windows Server 2008 Service Pack 2、適用於 x64 型系統的 Windows Server 2008 Service Pack 2、適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2)、Windows 7(適用於 32 位元系統的 Windows 7 和適用於 32 位元系統的 Windows 7 Service Pack 1、適用於 x64 型系統的 Windows 7 和適用於 x64 型系統的 Windows 7 Service Pack 1)、Windows Server 2008 R2(適用於 x64 型系統的 Windows Server 2008 R2 和適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1、適用於 Itanium 型系統的 Windows Server 2008 R2 和適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1)。

用戶可到以下網址下載更新程式:

http://technet.microsoft.com/zh-tw/security/bulletin/ms12-001

MS12-002Windows 物件封裝程式中的資訊安全風險可能會允許遠端執行程式碼 (2603381)

最高嚴重性等級:重要。受影響的軟體:Windows XP(Windows XP Service Pack 3、Windows XP Professional x64 Edition Service Pack 2)、Windows Server 2003(Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition Service Pack 2、適用於 Itanium 型系統的 Windows Server 2003 SP2)。

用戶可到以下網址下載更新程式:

http://technet.microsoft.com/zh-tw/security/bulletin/ms12-002

MS12-003Windows Client/Server Run-time Subsystem 中的資訊安全風險可能會允許權限提高 (2646524)

最高嚴重性等級:重要。受影響的軟體:Windows XP(Windows XP Service Pack 3、Windows XP Professional x64 Edition Service Pack 2)、Windows Server 2003(Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition Service Pack 2、適用於 Itanium 型系統的 Windows Server 2003 SP2)、Windows Vista(Windows Vista Service Pack 2、Windows Vista x64 Edition Service Pack 2)、Windows Server 2008 (適用於 32 位元系統的 Windows Server 2008 Service Pack 2、適用於 x64 型系統的 Windows Server 2008 Service Pack 2、適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2)。

用戶可到以下網址下載更新程式:

http://technet.microsoft.com/zh-tw/security/bulletin/ms12-003

MS12-005Microsoft Windows 中的資訊安全風險可能會允許遠端執行程式碼 (2584146)

最高嚴重性等級:重要。受影響的軟體:Windows XP (Windows XP Service Pack 3、Windows XP Professional x64 Edition Service Pack 2)、Windows Server 2003(Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition Service Pack 2、適用於 Itanium 型系統的 Windows Server 2003 SP2)、Windows Vista(Windows Vista Service Pack 2、Windows Vista x64 Edition Service Pack 2)、Windows Server 2008 (適用於 32 位元系統的 Windows Server 2008 Service Pack 2、適用於 x64 型系統的 Windows Server 2008 Service Pack 2、適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2)、Windows 7(適用於 32 位元系統的 Windows 7 和適用於 32 位元系統的 Windows 7 Service Pack 1、適用於 x64 型系統的 Windows 7 和適用於 x64 型系統的 Windows 7 Service Pack 1)、Windows Server 2008 R2(適用於 x64 型系統的 Windows Server 2008 R2 和適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1、適用於 Itanium 型系統的 Windows Server 2008 R2 和適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1)。

用戶可到以下網址下載更新程式:

http://technet.microsoft.com/zh-tw/security/bulletin/ms12-005

MS12-006SSL/TLS 中的資訊安全風險可能會導致資訊洩漏 (2643584)

最高嚴重性等級:重要。受影響的軟體:Windows XP (Windows XP Service Pack 3、Windows XP Professional x64 Edition Service Pack 2)、Windows Server 2003(Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition Service Pack 2、適用於 Itanium 型系統的 Windows Server 2003 SP2)、Windows Vista(Windows Vista Service Pack 2、Windows Vista x64 Edition Service Pack 2)、Windows Server 2008 (適用於 32 位元系統的 Windows Server 2008 Service Pack 2、適用於 x64 型系統的 Windows Server 2008 Service Pack 2、適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2)、Windows 7(適用於 32 位元系統的 Windows 7 和適用於 32 位元系統的 Windows 7 Service Pack 1、適用於 x64 型系統的 Windows 7 和適用於 x64 型系統的 Windows 7 Service Pack 1)、Windows Server 2008 R2(適用於 x64 型系統的 Windows Server 2008 R2 和適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1、適用於 Itanium 型系統的 Windows Server 2008 R2 和適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1)。

用戶可到以下網址下載更新程式:

http://technet.microsoft.com/zh-tw/security/bulletin/ms12-006

MS12-007AntiXSS Library 中的資訊安全風險可能會導致資訊洩漏 (2607664)

最高嚴重性等級:重要。受影響的軟體:Microsoft Anti-Cross Site Scripting Library(Microsoft Anti-Cross Site Scripting Library V3.x 和 Microsoft Anti-Cross Site Scripting Library V4.0)。

用戶可到以下網址下載更新程式:

http://technet.microsoft.com/zh-tw/security/bulletin/ms12-007