● 关注微软安全公告 MS-049 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: Version (vampire), 信区: Newsoftware
标  题: 关注微软安全公告 MS-049
发信站: 荔园晨风BBS站 (Mon Nov 17 22:26:11 2003), 站内信件

技术说明：
Workstation 服务中存在一个安全漏洞，这一漏洞允许在受影响的系统中执行远程代码
。造成这一漏洞的原因是，Workstation 服务中存在未经检查的缓冲区。
如果这一漏洞被人加以利用，攻击者可获得受影响系统的系统权限，或者使 Workstati
on 服务无法正常工作。攻击者可以对系统执行任何操作，其中包括：安装程序；查看、
更改或删除数据；或者创建拥有完全权限的新帐户。
减轻影响的因素：
如果用户通过使用防火墙封堵了入站 UDP 端口 138、139、445 和 TCP 端口 138、139
、445，则可以阻止攻击者向 Workstation 服务发送消息。大多数防火墙（包括 Windo
ws XP 中的"Internet 连接防火墙"）在默认情况下会封堵这些端口。
禁用 Workstation 服务可以防止可能的攻击。但是，在执行这种变通办法时会产生很大
的影响。有关详细信息，请参阅"变通办法"部分。
只有 Windows 2000 和 Window XP 会受到影响。其他操作系统不容易受到此漏洞的攻击
。

严重等级：
Microsoft Windows 2000 严重
Microsoft Windows XP 严重
以上评估是基于受此漏洞影响的系统类型、典型的部署模式以及漏洞对它们产生的影响
作出的。
漏洞标识符： CAN-2003-0812

该漏洞的范围有多大？
这是一个缓冲区溢出漏洞。成功地利用此漏洞的攻击者能够利用系统权限在受影响的系
统上执行远程代码，或者攻击者可以使 Workstation 服务无法正常工作。接下来，攻击
者能够对系统执行任何操作，其中包括：安装程序；查看、更改或删除数据；或者创建
拥有完全权限的新帐户。

此漏洞因何而起？
这一漏洞的原因是，Workstation 服务中存在未经检查的缓冲区。

什么是 Workstation 服务？
本地文件系统请求和远程文件或打印网络请求都通过 Workstation 服务进行路由。此服
务确定资源的位置，然后将请求路由到本地文件系统或网络组件。如果停止 Workstati
on 服务，则会将所有请求假定为本地请求。若要详细了解 Windows 网络结构，请访问
以下 Microsoft Web 站点：http://www.microsoft.com/technet/treeview/default.a
sp?url=/technet/prodtechnol/winntas/reskit/net/chptr1.asp

攻击者可利用此漏洞做什么？
成功地利用此漏洞的攻击者能够利用系统权限在受影响的系统上执行代码，或者可以使
Workstation 服务无法正常工作。接下来，攻击者能够对系统执行任何操作，其中包括
：安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户。

哪些人可能利用该漏洞？
任何可以向受影响的系统上的 Workstation 服务发送有问题的消息的匿名用户均可以尝
试利用此漏洞。由于默认情况下 Workstation 服务在 Windows 的各个版本中都是启用
的，这就意味着任何能够与受影响的系统建立连接的用户都可以尝试利用此漏洞。

攻击者可能如何利用此漏洞？
攻击者可以通过创建特制的网络消息并将其发送到受影响系统上的 Workstation 服务来
设法利用此漏洞。接收此类消息会使容易受到攻击的系统上的 Workstation 服务执行代
码，从而导致 Workstation 服务无法正常工作。
攻击者也可以通过其他方法访问受影响的组件，例如，通过交互方式登录到受影响的系
统，或使用一个应用程序在本地或远程向受影响的组件传递参数。

更新能做什么？
更新可通过如下方式来消除漏洞：确保 Workstation 服务在将消息传递到已分配的缓冲
区之前正确地验证消息的长度。
为什么 Windows XP 更新会涉及 MS03-043 安全公告？
在 10 月 15 日作为安全公告 MS03-043 (828035) 的一部分发布的 Windows XP 安全更
新包含了有助于防范此漏洞的更新文件。如果已应用了 MS03-043 (828035)的 Windows
XP 安全更新，则无需重新应用此更新。但是，作为本安全公告的一部分发布的 Windo

攻击者可能如何利用此漏洞？
攻击者可以通过创建特制的网络消息并将其发送到受影响系统上的 Workstation 服务来
设法利用此漏洞。接收此类消息会使容易受到攻击的系统上的 Workstation 服务执行代
码，从而导致 Workstation 服务无法正常工作。
攻击者也可以通过其他方法访问受影响的组件，例如，通过交互方式登录到受影响的系
统，或使用一个应用程序在本地或远程向受影响的组件传递参数。

更新能做什么？
更新可通过如下方式来消除漏洞：确保 Workstation 服务在将消息传递到已分配的缓冲
区之前正确地验证消息的长度。
为什么 Windows XP 更新会涉及 MS03-043 安全公告？
在 10 月 15 日作为安全公告 MS03-043 (828035) 的一部分发布的 Windows XP 安全更
新包含了有助于防范此漏洞的更新文件。如果已应用了 MS03-043 (828035)的 Windows
XP 安全更新，则无需重新应用此更新。但是，作为本安全公告的一部分发布的 Windo
ws 2000 安全更新还包含 MS03-043 (828035) 安全公告没有涉及的更新文件。即使客户
应用了 MS03-043 (828035) 的 Windows 2000 安全更新，也必须应用本 Windows 2000
安全更新。

--
                      *
          *                                  *
                          *             *
                      no more to say
                  ★     just wish you   ★
                            good luck

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.1.50]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店