发布日期：2013-05-14
更新日期：2013-05-15

受影响系统：

Microsoft Windows 2012
Microsoft Windows 2011

描述：

---

BUGTRAQ  ID: 59783
CVE(CAN) ID: CVE-2013-0096

Windowslive Writer 即（WLW） 是一个免费的桌面应用程序，您可以使用它轻松发布丰富的内容到您的网络日志。

Microsoft Windows Essentials无法正确处理特制 URL 时，存在一个信息泄露漏洞。如果用户使用特制 URL 打开 Windows Writer，则该漏洞可能允许信息泄露。成功利用此漏洞的攻击者可能会替代 Windows Writer 代理设置并覆盖目标系统上用户可以访问的文件。在基于 Web 的攻击情形中，网站可能包含用于利用此漏洞的特制链接。攻击者必须诱使用户访问该网站，并打开特制链接。

<*来源：Andrea Micalizzi
  
  链接：http://secunia.com/advisories/53383/
        http://technet.microsoft.com/security/bulletin/MS13-045
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 应用 Microsoft Fix it 解决方案“禁用 Windows Writer”，这样做可阻止利用此漏洞

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS13-045）以及相应补丁:
MS13-045：Vulnerability in Windows Essentials Could Allow Information Disclosure  (2813707)
链接：http://technet.microsoft.com/security/bulletin/MS13-045

浏览次数：4783
严重程度：0（网友投票）