8月9日，微软安全中心发布了2005年8月漏洞安全公告：MS05-042危害等级为“中等”，请广大用户尽快到微软官方网站下载微软最新补丁。

编号：MS05-042
名称：Kerberos 中的漏洞可能允许拒绝服务、信息泄露和欺骗
KB编号：899587
等级：中等

摘要：

　　此更新可消除两个新发现的漏洞、一个秘密报告的漏洞以及一个公开报告的漏洞。 本公告的“漏洞详细资料”部分对本公告中的每个漏洞进行了说明。
　　成功利用最严重的漏洞的攻击者可能导致负责对 Active Directory 域中的用户进行身份验证的服务停止响应。

　　我们建议用户立即安装此更新。

受影响的软件：

·Microsoft Windows 2000 Service Pack 4 - 下载此更新
·Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2 - 下载此更新
·Microsoft Windows XP Professional x64 Edition - 下载此更新
·Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1 - 下载此更新
·Microsoft Windows Server 2003（用于基于 Itanium 的系统）和 Microsoft Windows Server 2003 SP1（用于基于 Itanium 的系统） - 下载此更新
·Microsoft Windows Server 2003 x64 Edition - 下载此更新

不受影响的软件：

·Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE) 和 Microsoft Windows Millennium Edition (ME)

严重等级和漏洞标识：

减轻影响的方式：

Kerberos 漏洞：

·攻击者必须拥有有效的登录凭据才能利用此漏洞。 匿名用户无法利用此漏洞。
·此漏洞仅影响 Windows 2000 Server 和 Windows Server 2003 域控制器。 不执行域控制器角色的服务器不受影响。
·Windows 2000 Professional 和 Windows XP 不受此漏洞的影响。
·如果攻击者成功利用了此漏洞，则受影响的系统可能会显示一条警告，指示系统将在 60 秒倒计时后自动重新启动。 在 60 秒倒计时结束后，受影响的系统将自动重新启动。 重新启动后，受影响系统的功能将恢复正常。 但是，除非应用此更新，否则该系统仍然易于遭受其他的拒绝服务攻击。
·采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业外部发起的攻击。 按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。

PKINIT 漏洞：

·要利用此漏洞，攻击者必须拥有有效的登录凭据，并且能够将其自身注入在客户端和域控制器之间的身份验证会话的中间。 匿名用户无法利用此漏洞。
·攻击者仅可以将应用程序服务器欺骗至该攻击者已被授予权限访问的目标客户端。
·攻击者使用的帐户和此攻击目标所使用的帐户必须为其帐户启用智能卡身份验证。 有关在企业内部启用智能卡使用的所需步骤的详细信息，请访问以下网站。
·成功利用此漏洞的攻击者可以获得与目标用户相同的用户权限。
·采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业外部发起的攻击。 按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。