Microsoft 安全公告 MS17-001 - 重要

Microsoft Edge 安全更新 (3214288)

发布日期:2017 年 1 月 10 日

版本:1.0

此安全更新修复了 Microsoft Edge 中的漏洞。如果用户使用 Microsoft Edge 查看经特殊设计的网页,那么此漏洞可能允许特权提升。成功利用此漏洞的攻击者可以在受影响的 Microsoft Edge 版本中提升特权。

对于 Windows 10 和 Windows Server 2016,此安全更新等级为“重要”。有关更多信息,请参阅“受影响的软件”部分。

此更新通过为包含数据 URL 的顶级窗口分配唯一源修复漏洞。

有关此漏洞的更多信息,请参阅“漏洞信息”部分。有关此更新程序的详细信息,请参阅 Microsoft 知识库文章 3214288

以下软件版本都受到影响。未列出的版本表明其支持生命周期已结束或不受影响。若要确定软件以前版本的支持生命周期,请参阅 Microsoft 支持生命周期

对每个受影响软件标记的严重等级假设漏洞可能造成的最大影响。若要了解在此安全公告发布 30 天内利用此漏洞进行攻击的可能性(相对于其严重等级和安全影响),请参阅 1 月份公告摘要中的利用指数。

注意 如需了解使用安全更新信息的新方法,请参阅安全更新指南。你可以自定义视图,创建受影响软件电子数据表,并通过 RESTful API 下载数据。如需了解更多信息,请参阅安全更新指南常见问题解答。提醒注意:“安全更新指南”自 2017 年 2 月起将替代安全公告。有关更多详细信息,请参阅我们的博客文章 Furthering our commitment to security updates(深化我们对安全更新的承诺)。


操作系统

Microsoft Edge 特权提升漏洞 - CVE-2017-0002

替代的更新

Windows 10

Windows 10(用于 32 位系统) [1]
(3210720)

重要 
特权提升

3205383

Windows 10(用于基于 x64 的系统) [1]
(3210720)

重要 
特权提升

3205383

Windows 10 版本 1511(用于 32 位系统) [1]
(3210721)

重要 
特权提升

3205386

Windows 10 版本 1511(用于基于 x64 的系统) [1]
(3210721)

重要 
特权提升

3205386

Windows 10 版本 1607(用于 32 位系统) [1]
(3213986)

重要 
特权提升

3206632

Windows 10 版本 1607(用于基于 x64 的系统) [1]
(3213986)

重要 
特权提升

3206632

Windows Server 2016

Windows Server 2016(用于基于 x64 的系统) [1]
(3213986)

重要 
特权提升

3206632

[1] Windows 10 和 Windows Server 2016 更新为累积更新。除了非安全更新之外,每月安全发布还包括用于影响 Windows 10 的漏洞的所有安全修补程序。可以通过 Microsoft 更新目录获取这些更新。请注意,从 2016 年 12 月 13 日起,Windows 10 和 Windows Server 2016 累积更新详情将在发行说明中归档。请参阅发行说明,了解操作系统内部版本号、已知问题和受影响文件列表信息。

*“替代的更新”列仅显示一系列被取代的更新中最新的更新。有关已替代更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库文章编号,然后查看更新详细信息(已替代更新的信息位于程序包详细信息选项卡中)。

Microsoft Edge 特权提升漏洞 - CVE-2017-0002

当 Microsoft Edge 使用 about:blank 不正确地强制实施跨域策略时会存在特权提升漏洞,可能允许攻击者访问某个域中信息并将其插入其他域。成功利用此漏洞的攻击者可以在受影响的 Microsoft Edge 版本中提升特权。

在基于 Web 的攻击情形中,攻击者可能拥有一个网站用于试图利用此漏洞。另外,已入侵网站以及接受或托管用户提供的内容的网站可能包含可利用此漏洞的经特殊设计的内容。不过,在任何情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者需要诱使用户执行操作。例如,攻击者可能哄骗用户单击链接以使用户链接到攻击者的网站。

此更新通过为包含数据 URL 的顶级窗口分配唯一源修复漏洞。

下表包含指向“常见漏洞和披露”列表中各漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft Edge 特权提升漏洞

CVE-2017-0002

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

有关安全更新部署的信息,请参阅执行摘要中此处引用的 Microsoft 知识库文章。

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定用途的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

  • V1.0(2017 年 1 月 10 日):公告已发布。
页面生成时间:2017-01-04 12:20-08:00。
显示: