2013 年 12 月的 Microsoft 安全公告摘要
发布时间: 2013 年 12 月 10 日
版本: 1.0
此公告摘要列出了 2013 年 12 月发布的安全公告。
随着 2013 年 12 月安全公告的发布,本公告摘要取代了最初于 2013 年 12 月 5 日发布的公告提前通知。 有关公告提前通知服务的详细信息,请参阅 Microsoft 安全公告提前通知。
有关如何在发布 Microsoft 安全公告时接收自动通知的信息,请访问 Microsoft 技术安全通知。
Microsoft 在太平洋时间(美国和加拿大)上午 11:00 主持一个网络广播,以解决这些公告中的客户问题。 立即注册 12 月安全公告网络广播。
Microsoft 还提供信息,帮助客户使用与每月安全更新在同一天发布的任何非安全更新设置每月安全更新的优先级。 请参阅“其他信息”部分。
执行摘要
下表汇总了本月安全公告的严重性。
有关受影响的软件的详细信息,请参阅下一部分“ 受影响的软件”。
| 公告 ID | 公告标题和执行摘要 | 最大严重性分级和漏洞影响 | 重启要求 | 受影响的软件 |
|---|---|---|---|---|
| MS13-096 | Microsoft 图形组件中的漏洞可能允许远程代码执行(2908005)\ \ 此安全更新可解决 Microsoft Windows、Microsoft 办公室 和 Microsoft Lync 中公开披露的漏洞。 如果用户查看包含专门制作的 TIFF 文件的内容,则此漏洞可能会允许远程代码执行。 | 关键 \ 远程代码执行 | 可能需要重启 | Microsoft Windows,\ Microsoft 办公室,\ Microsoft Lync |
| MS13-097 | Internet Explorer 的累积安全更新 (2898785)\ \ 此安全更新可解决 Internet Explorer 中七个私有报告的漏洞。 如果用户使用 Internet Explorer 查看特制网页,则最严重的漏洞可能会允许远程代码执行。 成功利用这些漏洞中最严重的攻击者可能会获得与当前用户相同的用户权限。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。 | 关键 \ 远程代码执行 | 需要重启 | Microsoft Windows,\ Internet Explorer |
| MS13-098 | Windows 中的漏洞可能允许远程代码执行(2893294)\ \ 此安全更新可解决 Microsoft Windows 中公开报告的漏洞。 如果用户或应用程序在受影响的系统上运行或安装特制、签名的可移植可执行文件(PE)文件,则此漏洞可能会允许远程代码执行。 | 关键 \ 远程代码执行 | 需要重启 | Microsoft Windows |
| MS13-099 | Microsoft 脚本运行时对象库中的漏洞可能允许远程代码执行(2909158)\ \ 此安全更新可解决 Microsoft Windows 中私有报告的漏洞。 如果攻击者说服用户访问专门制作的网站或托管特制内容的网站,则此漏洞可能会允许远程代码执行。 成功利用此漏洞的攻击者可能会获得与本地用户相同的用户权限。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。 | 关键 \ 远程代码执行 | 可能需要重启 | Microsoft Windows |
| MS13-105 | Microsoft Exchange Server 中的漏洞可能允许远程代码执行(2915705)\ \ 此安全更新可解决 Microsoft Exchange Server 中三个公开披露的漏洞和一个私有报告的漏洞。 Microsoft Exchange Server 的 WebReady 文档查看和数据丢失防护功能中存在最严重的这些漏洞。 如果攻击者向受影响的 Exchange 服务器上的用户发送包含特殊设计文件的电子邮件,则这些漏洞可能会允许在 LocalService 帐户的安全上下文中执行远程代码。 LocalService 帐户在本地系统上具有最低权限,并在网络上提供匿名凭据。 | 关键 \ 远程代码执行 | 不需要重启 | Microsoft Exchange |
| MS13-100 | Microsoft SharePoint Server 中的漏洞可能允许远程代码执行(2904244)\ 此安全更新可解决Microsoft 办公室服务器软件中的多个私有报告漏洞。 如果经过身份验证的攻击者将特制的页面内容发送到 SharePoint 服务器,则这些漏洞可能会允许远程代码执行。 成功利用这些漏洞的攻击者可以在目标 SharePoint 站点上的 W3WP 服务帐户的安全上下文中运行任意代码。 | 重要 \ 远程代码执行 | 可能需要重启 | Microsoft SharePoint |
| MS13-101 | Windows 内核模式驱动程序中的漏洞可能允许提升权限(2880430)\ \ 此安全更新可解决 Microsoft Windows 中五个私有报告的漏洞。 如果攻击者登录到系统并运行特制的应用程序,则这些漏洞中的更严重可能允许提升特权。 攻击者必须具有有效的登录凭据,并且能够在本地登录以利用此漏洞。 | 重要 \ 特权提升 | 需要重启 | Microsoft Windows |
| MS13-102 | LRPC 客户端中的漏洞可能允许提升权限(2898715)\ \ 此安全更新可解决 Microsoft Windows 中私有报告的漏洞。 如果攻击者欺骗 LRPC 服务器并将专门制作的 LPC 端口消息发送到任何 LRPC 客户端,则漏洞可能会允许提升特权。 成功利用漏洞的攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全管理员权限的新帐户。 攻击者必须具有有效的登录凭据,并且能够在本地登录以利用此漏洞。 | 重要 \ 特权提升 | 需要重启 | Microsoft Windows |
| MS13-103 | ASP.NET SignalR 中的漏洞可能允许提升权限(2905244)\ \ 此安全更新解决了 ASP.NET SignalR 中的私有报告漏洞。 如果攻击者将特制的 JavaScript 反映回目标用户的浏览器,该漏洞可能会允许提升特权。 | 重要 \ 特权提升 | 不需要重启 | Microsoft 开发人员工具 |
| MS13-104 | Microsoft 办公室中的漏洞可能允许信息泄露(2909976)\ \ 此安全更新解决了Microsoft 办公室中一个私下报告的漏洞,如果用户尝试打开托管在恶意网站上办公室文件,则可能会允许信息泄露。 成功利用此漏洞的攻击者可以确定用于对目标 SharePoint 或其他Microsoft 办公室服务器站点上的当前用户进行身份验证的访问令牌。 | 重要 \ 信息泄露 | 可能需要重启 | Microsoft Office |
| MS13-106 | Microsoft 办公室共享组件中的漏洞可能允许绕过安全功能\(2905238)\ \ 此安全更新可解决当前正在利用的Microsoft 办公室共享组件中公开披露的漏洞。 如果用户在能够实例化 COM 组件(如 Internet Explorer)的 Web 浏览器中查看特制网页,该漏洞可能会允许绕过安全功能。 在 Web 浏览攻击方案中,成功利用此漏洞的攻击者可以绕过地址空间布局随机化(ASLR)安全功能,这有助于保护用户免受各种漏洞的伤害。 安全功能本身不允许执行任意代码。 但是,攻击者可以将此 ASLR 绕过漏洞与另一个漏洞结合使用,例如可以利用 ASLR 旁路来运行任意代码的远程代码执行漏洞。 | 重要 \ 安全功能绕过 | 可能需要重启 | Microsoft Office |
Exploitability Index
下表提供本月解决的每个漏洞的可利用性评估。 漏洞按公告 ID 的顺序列出,然后列出 CVE ID。 仅包含公告中严重级别为“严重”或“重要”的漏洞。
如何实现使用此表?
使用此表可了解在安全公告发布后的 30 天内执行代码和拒绝服务攻击的可能性,了解可能需要安装的每个安全更新。 根据具体配置查看以下每个评估,确定本月更新部署的优先级。 有关这些分级的含义及其确定方式的详细信息,请参阅 Microsoft Exploitability Index。
在下面的列中,“最新软件发布”是指主题软件,而“旧版软件版本”是指主题软件的所有较旧受支持版本,如公告中的“受影响的软件”和“受影响的软件”表所列。
| 公告 ID | 漏洞标题 | CVE ID | 最新软件版本的可利用性评估 | 旧版软件的可利用性评估 | 拒绝服务利用性评估 | 关键说明 |
|---|---|---|---|---|---|---|
| MS13-096 | Microsoft 图形组件内存损坏漏洞 | CVE-2013-3906 | 1 - 攻击代码可能 | 1 - 攻击代码可能 | 不适用 | 此漏洞已被公开披露。\ \ Microsoft 知道试图利用Microsoft 办公室产品中此漏洞的目标攻击。 |
| MS13-097 | Internet Explorer 特权提升漏洞 | CVE-2013-5045 | 1 - 攻击代码可能 | 1 - 攻击代码可能 | 不适用 | (无) |
| MS13-097 | Internet Explorer 特权提升漏洞 | CVE-2013-5046 | 1 - 攻击代码可能 | 1 - 攻击代码可能 | 不适用 | (无) |
| MS13-097 | Internet Explorer 内存损坏漏洞 | CVE-2013-5047 | 1 - 攻击代码可能 | 1 - 攻击代码可能 | 不适用 | (无) |
| MS13-097 | Internet Explorer 内存损坏漏洞 | CVE-2013-5048 | 1 - 攻击代码可能 | 1 - 攻击代码可能 | 不适用 | (无) |
| MS13-097 | Internet Explorer 内存损坏漏洞 | CVE-2013-5049 | 不受影响 | 1 - 攻击代码可能 | 不适用 | (无) |
| MS13-097 | Internet Explorer 内存损坏漏洞 | CVE-2013-5051 | 3 - 攻击代码不太可能 | 2 - 攻击代码难以生成 | 不适用 | (无) |
| MS13-097 | Internet Explorer 内存损坏漏洞 | CVE-2013-5052 | 不受影响 | 1 - 攻击代码可能 | 不适用 | (无) |
| MS13-098 | WinVerifyTrust 签名验证漏洞 | CVE-2013-3900 | 1 - 攻击代码可能 | 1 - 攻击代码可能 | 不适用 | Microsoft 知道试图利用此漏洞的目标攻击。 |
| MS13-099 | Microsoft 脚本运行时对象库中的无用漏洞 | CVE-2013-5056 | 1 - 攻击代码可能 | 1 - 攻击代码可能 | 不适用 | (无) |
| MS13-100 | SharePoint 页面内容漏洞 | CVE-2013-5059 | 1 - 攻击代码可能 | 1 - 攻击代码可能 | 不适用 | (无) |
| MS13-101 | Win32k 内存损坏漏洞 | CVE-2013-3899 | 不受影响 | 2 - 攻击代码难以生成 | 永久性 | (无) |
| MS13-101 | 在释放漏洞后使用 Win32k | CVE-2013-3902 | 不受影响 | 1 - 攻击代码可能 | 永久性 | (无) |
| MS13-101 | TrueType 字体分析漏洞 | CVE-2013-3903 | 不受影响 | 3 - 攻击代码不太可能 | 永久性 | (无) |
| MS13-101 | 端口类驱动程序双重提取漏洞 | CVE-2013-3907 | 不受影响 | 2 - 攻击代码难以生成 | 永久性 | (无) |
| MS13-101 | Win32k 整数溢出漏洞 | CVE-2013-5058 | 3 - 攻击代码不太可能 | 3 - 攻击代码不太可能 | 永久性 | 这是拒绝服务漏洞。 |
| MS13-102 | LRPC 客户端缓冲区溢出漏洞 | CVE-2013-3878 | 不受影响 | 1 - 攻击代码可能 | 永久性 | (无) |
| MS13-103 | SignalR XSS 漏洞 | CVE-2013-5042 | 1 - 攻击代码可能 | 1 - 攻击代码可能 | 不适用 | (无) |
| MS13-104 | 令牌劫持漏洞 | CVE-2013-5054 | 3 - 攻击代码不太可能 | 不受影响 | 不适用 | 这是一个信息泄露漏洞。\ \ Microsoft 知道尝试利用此漏洞的有限、有针对性的攻击。 |
| MS13-105 | MAC 已禁用漏洞 | CVE-2013-1330 | 1 - 攻击代码可能 | 1 - 攻击代码可能 | 不适用 | 此漏洞已公开披露。 |
| MS13-105 | In 外部的 Oracle 包含多个可利用的漏洞 | CVE-2013-5763 \ \ and\ \ CVE-2013-5791 | 2 - 攻击代码难以生成 | 2 - 攻击代码难以生成 | 永久性 | 这些漏洞已公开披露。 |
| MS13-105 | OWA XSS 漏洞 | CVE-2013-5072 | 3 - 攻击代码不太可能 | 3 - 攻击代码不太可能 | 不适用 | (无) |
| MS13-106 | HXDS ASLR 漏洞 | CVE-2013-5057 | 不受影响 | 不适用 | 不适用 | 这是一个安全功能绕过漏洞。\ \ 此漏洞已被公开披露。\ \ Microsoft 知道尝试利用此漏洞的有限、有针对性的攻击。 |
受影响的软件
下表列出了主要软件类别和严重性顺序的公告。
如何实现使用这些表?
使用这些表了解可能需要安装的安全更新。 应查看列出的每个软件程序或组件,以查看任何安全更新是否与安装有关。 如果列出了软件程序或组件,则还会列出软件更新的严重性分级。
请注意 ,可能需要为单个漏洞安装多个安全更新。 查看列出的每个公告标识符的整个列,以根据系统上安装的程序或组件来验证必须安装的更新。
Windows 操作系统和组件
| Windows XP | ||||||
|---|---|---|---|---|---|---|
| 公告标识符 | MS13-096 | MS13-097 | MS13-098 | MS13-099 | MS13-101 | MS13-102 |
| 聚合严重性分级 | 无 | 严重 | 严重 | 严重 | 重要说明 | 重要说明 |
| Windows XP Service Pack 3 | 不适用 | Internet Explorer 6 (2898785) (关键) Internet Explorer 7 (2898785) (关键) Internet Explorer 8 (2898785) (关键) | Windows XP Service Pack 3 (2893294) (严重) | Windows 脚本 5.7 (2892075) (严重) | Windows XP Service Pack 3 (2893984) (重要) | Windows XP Service Pack 3 (2898715) (重要) |
| Windows XP Professional x64 Edition Service Pack 2 | 不适用 | Internet Explorer 6 (2898785) (关键) Internet Explorer 7 (2898785) (关键) Internet Explorer 8 (2898785) (关键) | Windows XP Professional x64 Edition Service Pack 2 (2893294) (严重) | Windows 脚本 5.6 (2892076) (关键) Windows 脚本 5.7 (2892075) (严重) | Windows XP Professional x64 Edition Service Pack 2 (2893984) (重要) | Windows XP Professional x64 Edition Service Pack 2 (2898715) (重要说明) |
| Windows Server 2003 | ||||||
| 公告标识符 | MS13-096 | MS13-097 | MS13-098 | MS13-099 | MS13-101 | MS13-102 |
| 聚合严重性分级 | 无 | 重要说明 | 严重 | 严重 | 重要说明 | 重要说明 |
| Windows Server 2003 Service Pack 2 | 不适用 | Internet Explorer 6 (2898785) (中等) Internet Explorer 7 (2898785) (重要) Internet Explorer 8 (2898785) (重要) | Windows Server 2003 Service Pack 2 (2893294) (严重) | Windows 脚本 5.6 (2892076) (关键) Windows 脚本 5.7 (2892075) (严重) | Windows Server 2003 Service Pack 2 (2893984) (重要) | Windows Server 2003 Service Pack 2 (2898715) (重要) |
| Windows Server 2003 x64 Edition Service Pack 2 | 不适用 | Internet Explorer 6 (2898785) (中等) Internet Explorer 7 (2898785) (重要) Internet Explorer 8 (2898785) (重要) | Windows Server 2003 x64 版本 Service Pack 2 (2893294) (严重) | Windows 脚本 5.6 (2892076) (关键) Windows 脚本 5.7 (2892075) (严重) | Windows Server 2003 x64 版本 Service Pack 2 (2893984) (重要) | Windows Server 2003 x64 版本 Service Pack 2 (2898715) (重要) |
| Windows Server 2003 SP2 for Itanium 基于系统的 SP2 | 不适用 | Internet Explorer 6 (2898785) (中等) Internet Explorer 7 (2898785) (重要) | Windows Server 2003 SP2 for Itanium 基于 Itanium 的系统 (2893294) (关键) | Windows 脚本 5.6 (2892076) (关键) Windows 脚本 5.7 (2892075) (严重) | Windows Server 2003 SP2 for Itanium based Systems (2893984) (重要) | Windows Server 2003 SP2 for Itanium based Systems (2898715) (重要) |
| Windows Vista | ||||||
| 公告标识符 | MS13-096 | MS13-097 | MS13-098 | MS13-099 | MS13-101 | MS13-102 |
| 聚合严重性分级 | 严重 | 严重 | 严重 | 严重 | 重要说明 | 无 |
| Windows Vista Service Pack 2 | Windows Vista Service Pack 2 (2901674) (关键) | Internet Explorer 7 (2898785) (关键) Internet Explorer 8 (2898785) (关键) Internet Explorer 9 (2898785) (关键) | Windows Vista Service Pack 2 (2893294) (关键) | Windows 脚本 5.7 (2892075) (严重) | Windows Vista Service Pack 2 (2893984) (中等) Windows Vista Service Pack 2 (2887069) (重要) | 不适用 |
| Windows Vista x64 版本 Service Pack 2 | Windows Vista x64 Edition Service Pack 2 (2901674) (关键) | Internet Explorer 7 (2898785) (关键) Internet Explorer 8 (2898785) (关键) Internet Explorer 9 (2898785) (关键) | Windows Vista x64 Edition Service Pack 2 (2893294) (关键) | Windows 脚本 5.7 (2892075) (严重) | Windows Vista x64 Edition Service Pack 2 (2893984) (中等) Windows Vista x64 Edition Service Pack 2 (2887069) (重要) | 不适用 |
| Windows Server 2008 | ||||||
| 公告标识符 | MS13-096 | MS13-097 | MS13-098 | MS13-099 | MS13-101 | MS13-102 |
| 聚合严重性分级 | 严重 | 重要说明 | 严重 | 严重 | 重要说明 | 无 |
| Windows Server 2008 for 32 位系统 Service Pack 2 | Windows Server 2008 for 32 位系统 Service Pack 2 (2901674) (严重) | Internet Explorer 7 (2898785) (重要) Internet Explorer 8 (2898785) (重要) Internet Explorer 9 (2898785) (重要) | Windows Server 2008 for 32 位系统 Service Pack 2 (2893294) (关键) | Windows 脚本 5.7 (2892075) (严重) | Windows Server 2008 for 32 位系统 Service Pack 2 (2893984) (Moderate) Windows Server 2008 for 32 位系统 Service Pack 2 (2887069) (重要) | 不适用 |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 | 基于 x64 的系统 Service Pack 2 (2901674) (关键) 的 Windows Server 2008 | Internet Explorer 7 (2898785) (重要) Internet Explorer 8 (2898785) (重要) Internet Explorer 9 (2898785) (重要) | 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (2893294) (关键) | Windows 脚本 5.7 (2892075) (严重) | Windows Server 2008 for x64 based Systems Service Pack 2 (2893984) (Moderate) Windows Server 2008 for x64 based Systems Service Pack 2 (2887069) (重要) | 不适用 |
| 基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 | Windows Server 2008 for Itanium based Systems Service Pack 2 (2901674) (关键) | Internet Explorer 7 (2898785) (重要) | Windows Server 2008 for Itanium based Systems Service Pack 2 (2893294) (关键) | Windows 脚本 5.7 (2892075) (严重) | Windows Server 2008 for Itanium based Systems Service Pack 2 (2893984) (Moderate) Windows Server 2008 for Itanium based Systems Service Pack 2 (2887069) (重要) | 不适用 |
| Windows 7 | ||||||
| 公告标识符 | MS13-096 | MS13-097 | MS13-098 | MS13-099 | MS13-101 | MS13-102 |
| 聚合严重性分级 | 无 | 严重 | 严重 | 严重 | 重要说明 | 无 |
| Windows 7 for 32 位系统 Service Pack 1 | 不适用 | Internet Explorer 8 (2898785) (关键) Internet Explorer 9 (2898785) (关键) Internet Explorer 10 (2898785) (关键) Internet Explorer 11 (2898785) (关键) | Windows 7 for 32 位系统 Service Pack 1 (2893294) (严重) | Windows 脚本 5.8 (2892074) (严重) | Windows 7 for 32 位系统 Service Pack 1 (2893984) (重要) Windows 7 for 32 位系统 Service Pack 1 (2887069) (重要) | 不适用 |
| 基于 x64 的系统 Service Pack 1 的 Windows 7 | 不适用 | Internet Explorer 8 (2898785) (关键) Internet Explorer 9 (2898785) (关键) Internet Explorer 10 (2898785) (关键) Internet Explorer 11 (2898785) (关键) | 基于 x64 的系统 Service Pack 1 的 Windows 7 (2893294) (关键) | Windows 脚本 5.8 (2892074) (严重) | Windows 7 for x64 based Systems Service Pack 1 (2893984) (重要) Windows 7 for x64 based Systems Service Pack 1 (2887069) (重要) | 不适用 |
| Windows Server 2008 R2 | ||||||
| 公告标识符 | MS13-096 | MS13-097 | MS13-098 | MS13-099 | MS13-101 | MS13-102 |
| 聚合严重性分级 | 无 | 重要说明 | 严重 | 严重 | 重要说明 | 无 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 | 不适用 | Internet Explorer 8 (2898785) (重要) Internet Explorer 9 (2898785) (重要) Internet Explorer 10 (2898785) (重要) Internet Explorer 11 (2898785) (重要) | 基于 x64 的系统 Service Pack 1 (2893294) 的 Windows Server 2008 R2 (关键) | Windows 脚本 5.8 (2892074) (严重) | Windows Server 2008 R2 for x64 based Systems Service Pack 1 (2893984) (重要) Windows Server 2008 R2 for x64 based Systems Service Pack 1 (2887069) (重要) | 不适用 |
| 适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 | 不适用 | Internet Explorer 8 (2898785) (重要) | Windows Server 2008 R2 for Itanium 基于 Itanium 的系统 Service Pack 1 (2893294) (关键) | Windows 脚本 5.8 (2892074) (严重) | Windows Server 2008 R2 for Itanium based Systems Service Pack 1 (2893984) (重要) Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 (2887069) (重要) | 不适用 |
| Windows 8 和 Windows 8.1 | ||||||
| 公告标识符 | MS13-096 | MS13-097 | MS13-098 | MS13-099 | MS13-101 | MS13-102 |
| 聚合严重性分级 | 无 | 严重 | 严重 | 严重 | 重要说明 | 无 |
| 适用于 32 位系统的 Windows 8 | 不适用 | Internet Explorer 10 (2898785) (严重) | 适用于 32 位系统的 Windows 8 (2893294) (关键) | Windows 脚本 5.8 (2892074) (严重) | 适用于 32 位系统的 Windows 8 (2893984) (中等) Windows 8(适用于 32 位系统(2887069) (重要) | 不适用 |
| 基于 x64 的系统 Windows 8 | 不适用 | Internet Explorer 10 (2898785) (严重) | 基于 x64 的系统 (2893294) 的 Windows 8 (关键) | Windows 脚本 5.8 (2892074) (严重) | 适用于基于 x64 的系统(2893984)(中等)Windows 8(适用于基于 x64 的系统)的 Windows 8 (2887069) (重要) | 不适用 |
| 适用于 32 位系统的 Windows 8.1 | 不适用 | Internet Explorer 11 (2898785) (关键) | 适用于 32 位系统的 Windows 8.1 (2893294) (关键) | Windows 脚本 5.8 (2892074) (严重) | 适用于 32 位系统的 Windows 8.1 (2893984) (中等) | 不适用 |
| 基于 x64 的系统版 Windows 8.1 | 不适用 | Internet Explorer 11 (2898785) (关键) | 基于 x64 的系统 (2893294) 的 Windows 8.1 (关键) | Windows 脚本 5.8 (2892074) (严重) | 基于 x64 的系统 (2893984) 的 Windows 8.1 (中等) | 不适用 |
| Windows Server 2012 和 Windows Server 2012 R2 | ||||||
| 公告标识符 | MS13-096 | MS13-097 | MS13-098 | MS13-099 | MS13-101 | MS13-102 |
| 聚合严重性分级 | 无 | 重要说明 | 严重 | 严重 | 重要说明 | 无 |
| Windows Server 2012 | 不适用 | Internet Explorer 10 (2898785) (重要) | Windows Server 2012 (2893294) (严重) | Windows 脚本 5.8 (2892074) (严重) | Windows Server 2012 (2893984) (中等) Windows Server 2012 (2887069) (重要) | 不适用 |
| Windows Server 2012 R2 | 不适用 | Internet Explorer 11 (2898785) (重要) | Windows Server 2012 R2 (2893294) (关键) | Windows 脚本 5.8 (2892074) (严重) | Windows Server 2012 R2 (2893984) (中等) | 不适用 |
| Windows RT 和 Windows RT 8.1 | ||||||
| 公告标识符 | MS13-096 | MS13-097 | MS13-098 | MS13-099 | MS13-101 | MS13-102 |
| 聚合严重性分级 | 无 | 严重 | 严重 | 严重 | 重要说明 | 无 |
| Windows RT | 不适用 | Internet Explorer 10 (2898785) (严重) | Windows RT (2893294) (严重) | Windows 脚本 5.8 (2892074) (严重) | Windows RT (2893984) (中等) Windows RT (2887069) (重要) | 不适用 |
| Windows RT 8.1 | 不适用 | Internet Explorer 11 (2898785) (关键) | Windows RT 8.1 (2893294) (严重) | Windows 脚本 5.8 (2892074) (严重) | Windows RT 8.1 (2893984) (中等) | 不适用 |
| 服务器核心安装选项 | ||||||
| 公告标识符 | MS13-096 | MS13-097 | MS13-098 | MS13-099 | MS13-101 | MS13-102 |
| 聚合严重性分级 | 严重 | 无 | 严重 | 严重 | 重要说明 | 无 |
| Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) | Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) (2901674) (关键) | 不适用 | Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) (2893294) (关键) | Windows 脚本 5.7 (2892075) (严重) | Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) (2893984) (中等) | 不适用 |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (服务器核心安装) | 基于 x64 的系统 Service Pack 2(服务器核心安装)(2901674)(关键) 的 Windows Server 2008 | 不适用 | 基于 x64 的系统 Service Pack 2(服务器核心安装)(2893294)(关键) 的 Windows Server 2008 | Windows 脚本 5.7 (2892075) (严重) | Windows Server 2008 for x64 based Systems Service Pack 2 (Server Core installation) (2893984) (Moderate) | 不适用 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (服务器核心安装) | 不适用 | 不适用 | Windows Server 2008 R2 for x64 基于 x64 的系统 Service Pack 1 (服务器核心安装) (2893294) (关键) | Windows 脚本 5.8 (2892074) (严重) | Windows Server 2008 R2 for x64 基于 x64 的系统 Service Pack 1 (服务器核心安装) (2893984) (重要) | 不适用 |
| Windows Server 2012 (服务器核心安装) | 不适用 | 不适用 | Windows Server 2012 (服务器核心安装) (2893294) (严重) | Windows 脚本 5.8 (2892074) (严重) | Windows Server 2012 (服务器核心安装) (2893984) (中等) | 不适用 |
| Windows Server 2012 R2 (服务器核心安装) | 不适用 | 不适用 | Windows Server 2012 R2 (服务器核心安装) (2893294) (关键) | Windows 脚本 5.8 (2892074) (严重) | Windows Server 2012 R2 (服务器核心安装) (2893984) (中等) | 不适用 |
MS13-096 的说明
此公告跨越多个软件类别。 有关其他受影响的软件,请参阅本部分中的其他表。
Microsoft 办公室套件和软件
| Microsoft Office 2003 | |||
|---|---|---|---|
| 公告标识符 | MS13-096 | MS13-104 | MS13-106 |
| 聚合严重性分级 | 严重 | 无 | 无 |
| Microsoft 办公室 2003 Service Pack 3 | Microsoft 办公室 2003 Service Pack 3 (2850047) (严重) | 不适用 | 不适用 |
| Microsoft Office 2007 | |||
| 公告标识符 | MS13-096 | MS13-104 | MS13-106 |
| 聚合严重性分级 | 严重 | 无 | 重要说明 |
| Microsoft 办公室 2007 Service Pack 3 | Microsoft 办公室 2007 Service Pack 3 (2817641) (严重) | 不适用 | Microsoft 办公室 2007 Service Pack 3 (2850022) (重要) |
| Microsoft Office 2010 | |||
| 公告标识符 | MS13-096 | MS13-104 | MS13-106 |
| 聚合严重性分级 | 严重 | 无 | 重要说明 |
| Microsoft 办公室 2010 Service Pack 1 (32 位版本) | Microsoft 办公室 2010 Service Pack 1 (32 位版本) (2817670) (严重) | 不适用 | Microsoft 办公室 2010 Service Pack 1 (32 位版本)(2850016) (重要) |
| Microsoft 办公室 2010 Service Pack 2 (32 位版本) | Microsoft 办公室 2010 Service Pack 2 (32 位版本) (2817670) (严重) | 不适用 | Microsoft 办公室 2010 Service Pack 2 (32 位版本) (2850016) (重要) |
| Microsoft 办公室 2010 Service Pack 1 (64 位版本) | Microsoft 办公室 2010 Service Pack 1 (64 位版本) (2817670) (关键) | 不适用 | Microsoft 办公室 2010 Service Pack 1 (64 位版本) (2850016) (重要) |
| Microsoft 办公室 2010 Service Pack 2 (64 位版本) | Microsoft 办公室 2010 Service Pack 2 (64 位版本) (2817670) (严重) | 不适用 | Microsoft 办公室 2010 Service Pack 2 (64 位版本) (2850016) (重要) |
| Microsoft Office 2013 | |||
| 公告标识符 | MS13-096 | MS13-104 | MS13-106 |
| 聚合严重性分级 | 无 | 重要说明 | 无 |
| Microsoft 办公室 2013 (32 位版本) | 不适用 | Microsoft 办公室 2013 (32 位版本) (2850064) (重要) | 不适用 |
| Microsoft 办公室 2013 (64 位版本) | 不适用 | Microsoft 办公室 2013 (64 位版本) (2850064) (重要) | 不适用 |
| Microsoft 办公室 2013 RT | 不适用 | Microsoft 办公室 2013 RT (2850064) (重要) | 不适用 |
| 其他办公室软件 | |||
| 公告标识符 | MS13-096 | MS13-104 | MS13-106 |
| 聚合严重性分级 | 严重 | 无 | 无 |
| Microsoft 办公室兼容性包 Service Pack 3 | Microsoft 办公室兼容性包 Service Pack 3 (2817641) (严重) | 不适用 | 不适用 |
| Microsoft Word Viewer | Microsoft Word Viewer (2850047) (严重) | 不适用 | 不适用 |
| Microsoft Excel Viewer | Microsoft Excel Viewer (2817641) (关键) | 不适用 | 不适用 |
| Microsoft PowerPoint 2010 查看器 Service Pack 1 | Microsoft PowerPoint 2010 查看器 Service Pack 1 (2817670) (严重) | 不适用 | 不适用 |
| Microsoft PowerPoint 2010 查看器 Service Pack 2 | Microsoft PowerPoint 2010 查看器 Service Pack 2 (2817670) (关键) | 不适用 | 不适用 |
MS13-096 的说明
此公告跨越多个软件类别。 有关其他受影响的软件,请参阅本部分中的其他表。
Microsoft Server Software
| Microsoft SharePoint Server 2013 | ||
|---|---|---|
| 公告标识符 | MS13-105 | MS13-100 |
| 聚合严重性分级 | 无 | 重要说明 |
| Microsoft SharePoint Server 2013 | 不适用 | Microsoft SharePoint Server 2013 (coreserverloc) (2850058) (重要) |
| Microsoft Exchange Server 2007 | ||
| 公告标识符 | MS13-105 | MS13-100 |
| 聚合严重性分级 | 严重 | 无 |
| Microsoft Exchange Server 2007 Service Pack 3 | Microsoft Exchange Server 2007 Service Pack 3 (2903911) (严重) | 不适用 |
| Microsoft Exchange Server 2010 | ||
| 公告标识符 | MS13-105 | MS13-100 |
| 聚合严重性分级 | 严重 | 无 |
| Microsoft Exchange Server 2010 Service Pack 2 | Microsoft Exchange Server 2010 Service Pack 2 (2903903) (严重) | 不适用 |
| Microsoft Exchange Server 2010 Service Pack 3 | Microsoft Exchange Server 2010 Service Pack 3 (2905616) (严重) | 不适用 |
| Microsoft Exchange Server 2013 | ||
| 公告标识符 | MS13-105 | MS13-100 |
| 聚合严重性分级 | 严重 | 无 |
| Microsoft Exchange Server 2013 累积更新 2 | Microsoft Exchange Server 2013 累积更新 2 (2880833) (严重) | 不适用 |
| Microsoft Exchange Server 2013 累积更新 3 | Microsoft Exchange Server 2013 累积更新 3 (2880833) (严重) | 不适用 |
MS13-100 说明
此公告跨越多个软件类别。 有关其他受影响的软件,请参阅本部分中的其他表。
Microsoft 办公室服务和Web 应用
| Microsoft SharePoint Server 2010 | |
|---|---|
| 公告标识符 | MS13-100 |
| 聚合严重性分级 | 重要说明 |
| Microsoft SharePoint Server 2010 Service Pack 1 | Microsoft Business Productivity Servers (2553298) (重要) |
| Microsoft SharePoint Server 2010 Service Pack 2 | Microsoft Business Productivity Servers (2553298) (重要) |
| Microsoft SharePoint Server 2013 | |
| 公告标识符 | MS13-100 |
| 聚合严重性分级 | 重要说明 |
| Microsoft SharePoint Server 2013 | Microsoft Business Productivity Servers (2837629) (重要) Excel Services (2837631) (重要) |
| Microsoft 办公室 Web 应用 2013 | |
| 公告标识符 | MS13-100 |
| 聚合严重性分级 | 重要说明 |
| Microsoft 办公室 Web 应用 2013 | Microsoft 办公室 Web 应用 Server 2013 (2910228) (重要) |
MS13-100 说明
此公告跨越多个软件类别。 有关其他受影响的软件,请参阅本部分中的其他表。
Microsoft 通信平台和软件
| Microsoft Lync 2010 | |
|---|---|
| 公告标识符 | MS13-096 |
| 聚合严重性分级 | 重要说明 |
| Microsoft Lync 2010 (32 位) | Microsoft Lync 2010 (32 位) (2899397) (重要) |
| Microsoft Lync 2010 (64 位) | Microsoft Lync 2010 (64 位) (2899397) (重要) |
| Microsoft Lync 2010 Attendee (用户级别安装) | Microsoft Lync 2010 Attendee (用户级别安装) (2899393) (重要) |
| Microsoft Lync 2010 与会者(管理员级别安装) | Microsoft Lync 2010 与会者(管理员级别安装) (2899395) (重要说明) |
| Microsoft Lync 2013 | |
| 公告标识符 | MS13-096 |
| 聚合严重性分级 | 重要说明 |
| Microsoft Lync 2013 (32 位) | Microsoft Lync 2013 (32 位) (2850057) (重要) |
| Microsoft Lync Basic 2013 (32 位) | Microsoft Lync Basic 2013 (32 位) (2850057) (重要) |
| Microsoft Lync 2013 (64 位) | Microsoft Lync 2013 (64 位) (2850057) (重要) |
| Microsoft Lync Basic 2013 (64 位) | Microsoft Lync Basic 2013 (64 位) (2850057) (重要) |
MS13-096 的说明
此公告跨越多个软件类别。 有关其他受影响的软件,请参阅本部分中的其他表。
Microsoft 开发人员工具和软件
| ASP.NET | |
|---|---|
| 公告标识符 | MS13-103 |
| 聚合严重性分级 | 重要说明 |
| ASP.NET SignalR | ASP.NET SignalR 1.1.x (2903919) (重要) ASP.NET SignalR 2.0.x (2903919) (重要) |
| Microsoft Visual Studio Team Foundation Server | |
| 公告标识符 | MS13-103 |
| 聚合严重性分级 | 重要说明 |
| Microsoft Visual Studio Team Foundation Server 2013 | Microsoft Visual Studio Team Foundation Server 2013 (2903566) (重要) |
检测和部署工具和指南
多个资源可用于帮助管理员部署安全更新。
- Microsoft 基线安全分析器(MBSA)允许管理员扫描本地和远程系统,以查找缺少安全更新和常见安全配置错误。
- Windows Server Update Services (WSUS)、系统管理服务器(SMS)和 System Center Configuration Manager 可帮助管理员分发安全更新。
- 应用程序兼容性工具包随附的更新兼容性计算器组件有助于简化针对已安装应用程序的 Windows 更新测试和验证。
有关这些工具和可用的其他工具的信息,请参阅 适用于 IT 专业人员的安全工具。
致谢
Microsoft 感谢 以下部门与我们合作,帮助保护客户:
MS13-096
- McAfee Labs IPS 团队的海飞李报告 Microsoft 图形组件内存损坏漏洞 (CVE-2013-3906)
MS13-097
- 用于报告 Internet Explorer 特权提升漏洞的上下文信息安全的 James Forshaw (CVE-2013-5045)
- 用于报告 Internet Explorer 特权提升漏洞的上下文信息安全的 James Forshaw (CVE-2013-5046)
- 惠普报告 Internet Explorer 内存损坏漏洞的零日倡议的阿卜杜勒-阿齐兹·哈里里(CVE-2013-5047)
- 一位匿名研究人员与 惠普的零日计划合作,报告 Internet Explorer 内存损坏漏洞(CVE-2013-5048)
- 何塞·安东尼奥·瓦兹克斯·冈萨雷斯与惠普的零日计划合作,报告 Internet Explorer 内存损坏漏洞(CVE-2013-5049)
- 用于报告 Internet Explorer 内存损坏漏洞的 OUSPG 的 Atte Kettunen (CVE-2013-5051)
- Palo Alto Networks 的 Bo Qu,用于报告 Internet Explorer 内存损坏漏洞 (CVE-2013-5052)
- Alex Inführ 与我们合作,就本公告中包含的 Internet Explorer XSS 筛选器进行深层防御更改
MS13-098
- Kingsoft Internet 安全中心 @ Kingsoft Internet Security Software Co. Ltd ,用于报告 WinVerifyTrust 签名验证漏洞(CVE-2013-3900)
MS13-101
- 齐虎的任光元报告 Win32k 内存损坏漏洞 (CVE-2013-3899)
- 一位匿名研究员,与 VeriSign iDefense Labs 合作报告 Win32k 内存损坏漏洞(CVE-2013-3899)
- F13 实验室的林川李报告 TrueType 字体分析漏洞 (CVE-2013-3903)
- 用于报告 Win32k 整数溢出漏洞的核心安全技术的 Nicolas Economou (CVE-2013-5058)
MS13-102
- Qihoo 报告 LRPC 客户端缓冲区溢出漏洞的任光元 (CVE-2013-3878)
MS13-104
- Adallom 的 Noam Liran 报告令牌劫持漏洞 (CVE-2013-5054)
MS13-105
- Minded Security 代表 Criteo 报告 OWA XSS 漏洞 (CVE-2013-5072)
其他信息
Microsoft Windows 恶意软件删除工具
对于每个月第二个星期二发生的公告发布,Microsoft 已在 Windows 更新、Microsoft 更新、Windows Server 更新服务和下载中心发布了 Microsoft Windows 恶意软件删除工具的更新版本。 没有更新版本的 Microsoft Windows 恶意软件删除工具可用于带外安全公告版本。
MU、WU 和 WSUS 上的非安全汇报
有关 Windows 更新 和 Microsoft 更新上的非安全版本的信息,请参阅:
- Microsoft 知识库文章894199:软件更新服务和 Windows Server Update Services 内容更改的说明。 包括所有 Windows 内容。
- 汇报过去几个月的 Windows Server 更新服务。 显示除 Microsoft Windows 以外的 Microsoft 产品的所有新更新、修订更新和重新发布更新。
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问 Microsoft Active Protections 计划(MAPP)合作伙伴中列出的计划合作伙伴提供的活动保护网站。
安全策略和社区
更新管理策略
更新管理 安全指南提供有关 Microsoft 有关应用安全更新的最佳做法建议的其他信息。
获取其他安全汇报
可从以下位置获取其他安全问题汇报:
- 可从 Microsoft 下载中心获取安全更新。 可以通过执行关键字 (keyword)搜索“安全更新”来最轻松地找到它们。
- 使用者平台的汇报可从Microsoft 更新。
- 可以从安全与关键版本 ISO CD 映像文件的下载中心获取本月提供的Windows 更新安全更新。 有关详细信息,请参阅 Microsoft 知识库文章913086。
IT 专业人员安全社区
了解如何提高安全性并优化 IT 基础结构,并与其他 IT 专业人员一起参与 IT 专业安全社区中的安全主题。
支持
列出的受影响的软件已经过测试,以确定受影响的版本。 其他版本已超过其支持生命周期。 若要确定软件版本的支持生命周期,请访问Microsoft 支持部门生命周期。
面向 IT 专业人员的安全解决方案: TechNet 安全故障排除和支持
帮助保护运行 Windows 的计算机免受病毒和恶意软件的攻击: 病毒解决方案和安全中心
根据国家/地区提供本地支持: 国际支持
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2013 年 12 月 10 日):已发布公告摘要。
页面生成的 2014-05-09 17:27Z-07:00。