Microsoft 安全公告 MS17-006 - 严重

Internet Explorer 累积安全更新程序 (4013073)

发布日期:2017 年 3 月 14 日

版本:1.0

此安全更新可解决 Internet Explorer 中的漏洞。如果用户使用 Internet Explorer 查看经特殊设计的网页,那么其中最严重的漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

对于受影响的 Windows 客户端上的 Internet Explorer 9 (IE 9) 和 Internet Explorer 11 (IE 11),此安全更新的等级为“严重”;对于受影响的 Windows 服务器上的 Internet Explorer 9 (IE 9)、Internet Explorer 10 (IE 10) 和 Internet Explorer 11 (IE 11),此安全更新的等级为“中等”。有关更多信息,请参阅受影响的软件部分。

有关这些漏洞的更多信息,请参阅漏洞信息部分。

有关此更新的更多信息,请参阅 Microsoft 知识库文章 4013073

以下软件版本都受到影响。未列出的版本表明其支持生命周期已结束或不受影响。若要确定软件版本的支持生命周期,请参阅 Microsoft 支持生命周期

对每个受影响软件标记的严重等级假设漏洞可能造成的最大影响。若要了解在此安全公告发布 30 天内漏洞被利用的可能性(相对于严重等级和安全影响),请参阅 3 月份公告摘要中的利用指数。

注意 如需了解使用安全更新程序信息的新方法,请参阅安全更新程序指南。你可以自定义视图,创建受影响软件电子数据表,并通过 RESTful API 下载数据。如需了解更多信息,请参阅安全更新指南常见问题解答。重要提醒:“安全更新程序指南”将替代安全公告。有关更多详细信息,请参阅我们的博客文章 Furthering our commitment to security updates(深化我们对安全更新程序的承诺)。

操作系统

组件

最大安全影响

综合严重等级

替代的更新程序*

Internet Explorer 9

Windows Vista Service Pack 2

Internet Explorer 9
(4012204)

远程执行代码

严重

MS16-144 中的 3203621

Windows Vista Service Pack 2

Microsoft Internet Messaging API
(3218362)

信息泄漏

重要说明

MS16-126 中的 3193515

Windows Vista x64 Edition Service Pack 2

Internet Explorer 9
(4012204)

远程执行代码

严重

MS16-144 中的 3203621

Windows Vista x64 Edition Service Pack 2

Microsoft Internet Messaging API
(3218362)

信息泄漏

重要说明

MS16-126 中的 3193515

Windows Server 2008(用于 32 位系统)Service Pack 2

Internet Explorer 9
(4012204)

远程执行代码

中等

MS16-144 中的 3203621

Windows Server 2008(用于 32 位系统)Service Pack 2

Microsoft Internet Messaging API
(3218362)

信息泄漏

重要说明

MS16-126 中的 3193515

Windows Server 2008(用于基于 x64 的系统)Service Pack 2

Internet Explorer 9
(4012204)

远程执行代码

中等

MS16-144 中的 3203621

Windows Server 2008(用于基于 x64 的系统)Service Pack 2

Microsoft Internet Messaging API
(3218362)

信息泄漏

重要说明

MS16-126 中的 3193515

Internet Explorer 10

Windows Server 2012
仅安全

Internet Explorer 10
(4012204)

远程执行代码

中等

Windows Server 2012
月度汇总[1]

Internet Explorer 10
(4012217)

远程执行代码

中等

3205409

Internet Explorer 11

Windows 7(用于 32 位系统)Service Pack 1
仅安全相关

Internet Explorer 11
(4012204)

远程执行代码

严重

Windows 7(用于 32 位系统)Service Pack 1
月度汇总[2]

Internet Explorer 11
(4012215)

远程执行代码

严重

3212646

Windows 7(用于基于 x64 的系统)Service Pack 1
仅安全相关

Internet Explorer 11
(4012204)

远程执行代码

严重

Windows 7(用于基于 x64 的系统)Service Pack 1
月度汇总[3]

Internet Explorer 11
(4012215)

远程执行代码

严重

3212646

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
仅安全相关

Internet Explorer 11
(4012204)

远程执行代码

中等

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
月度汇总[3]

Internet Explorer 11
(4012215)

远程执行代码

中等

3212646

Windows 8.1(用于 32 位系统)
仅安全相关

Internet Explorer 11
(4012204)

远程执行代码

严重

Windows 8.1(用于 32 位系统)
月度汇总[3]

Internet Explorer 11
(4012216)

远程执行代码

严重

3205401

Windows 8.1(用于基于 x64 的系统)
仅安全相关

Internet Explorer 11
(4012204)

远程执行代码

严重

Windows 8.1(用于基于 x64 的系统)
月度汇总[3]

Internet Explorer 11
(4012216)

远程执行代码

严重

3205401

Windows Server 2012 R2
仅安全

Internet Explorer 11
(4012204)

远程执行代码

中等

Windows Server 2012 R2
月度汇总[3]

Internet Explorer 11
(4012216)

远程执行代码

中等

3205401

Windows RT 8.1
月度汇总[2][3]

Internet Explorer 11
(4012216)

远程执行代码

严重

3205401

Windows 10(用于 32 位系统) [4]
(4012606)

Internet Explorer 11

远程执行代码

严重

3210720

Windows 10(用于基于 x64 的系统) [4]
(4012606)

Internet Explorer 11

远程执行代码

严重

3210720

Windows 10 版本 1511(用于 32 位系统) [4]
(4013198)

Internet Explorer 11

远程执行代码

严重

3210721

Windows 10 版本 1511(用于基于 x64 的系统) [4]
(4013198)

Internet Explorer 11

远程执行代码

严重

3210721

Windows 10 版本 1607(用于 32 位系统) [4]
(4013429)

Internet Explorer 11

远程执行代码

严重

3213986

Windows 10 版本 1607(用于基于 x64 的系统) [4]
(4013429)

Internet Explorer 11

远程执行代码

严重

3213986

Windows Server 2016(用于基于 x64 的系统) [4]
(4013429)

Internet Explorer 11

远程执行代码

中等

3213986

[1]Internet Explorer 9 用户还必须安装安全更新 3218362,才能完全免受 CVE-2017-0008 的影响。

[2]此更新通过 Windows 更新提供。

[3]从 2016 年 10 月版开始,Microsoft 已更改 Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012 和 Windows Server 2012 R2 的更新服务模式。有关详细信息,请参阅此 Microsoft TechNet 文章。 

[4]Windows 10 和 Windows Server 2016 更新为累积更新。除了非安全更新程序,每月安全补丁发布还包括可影响 Windows 10 和 Windows Server 2016 漏洞的所有安全修补程序。可以通过 Microsoft 更新目录获取这些更新。请注意,从 2016 年 12 月 13 日起,Windows 10 和 Windows Server 2016 累积更新详情将在发行说明中归档。请参阅发行说明,了解操作系统内部版本号、已知问题和受影响文件列表信息。

*“替代的更新程序”列仅显示一系列被取代的更新程序中最新的更新程序。有关替代的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库文章编号,然后查看更新详细信息(替代的更新信息位于“程序包详细信息”选项卡中)。

除安装此更新程序外,是否需要执行其他步骤来防止此公告中所描述的任何漏洞?
是。对于 Vista 和 Windows Server 2008 操作系统,自行安装 4012204 累积更新无法完全防止 CVE-2017-0008 - 还必须安装 MS17-006 中的安全更新程序 3218362 才能完全防止此漏洞。

以下严重等级假设漏洞可能造成最大影响。若要了解在此安全公告发布 30 天内漏洞被利用的可能性(相对于严重等级和安全影响),请参阅 3 月份公告摘要中的利用指数。

按照“严重等级和影响”表中的规定,“严重”、“重要”和“中等”值表示严重等级。有关详细信息,请参阅安全公告严重等级评定系统。请参阅表中用来指明最大影响的以下缩写关键词:

缩写

最大影响

RCE

远程执行代码

EoP

特权提升

ID

信息泄漏

SFB

安全功能绕过

 

漏洞严重等级和影响

CVE 编号    

漏洞标题

Internet
Explorer 9

Internet
Explorer 10

Internet
Explorer 11

Internet
Explorer 11

(位于 Windows 10 上)

CVE-2017-0008

Internet Explorer 信息泄漏漏洞

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

Windows 服务器:
低/ID

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

CVE-2017-0009

Microsoft 浏览器信息泄漏漏洞

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

Windows 服务器:
低/ID

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

CVE-2017-0012

Microsoft 浏览器欺骗漏洞

不适用

不适用

Windows 客户端:
重要/欺骗

Windows 服务器:
低/欺骗

Windows 客户端:
重要/欺骗

Windows 服务器:
低/欺骗

CVE-2017-0018

Internet Explorer 内存损坏漏洞

不适用

Windows 服务器:
中等/RCE

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0033

Microsoft 浏览器欺骗漏洞

不适用

不适用

Windows 客户端:
重要/欺骗

Windows 服务器:
低/欺骗

Windows 客户端:
重要/欺骗

Windows 服务器:
低/欺骗

CVE-2017-0037

Microsoft 浏览器内存损坏漏洞

不适用

Windows 服务器:
中等/RCE

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0040

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

Windows 服务器:
中等/RCE

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0049

脚本引擎信息泄漏漏洞

不适用

不适用

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

CVE-2017-0059

Internet Explorer 信息泄漏漏洞

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

Windows 服务器:
低/ID

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

CVE-2017-0130

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

Windows 服务器:
中等/RCE

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0149

Microsoft Internet Explorer 内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

Windows 服务器:
中等/RCE

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0154

Internet Explorer 特权提升漏洞

不适用

不适用

不适用

Windows 客户端:
重要/EoP

Windows 服务器:
低/EoP

多个信息泄漏漏洞

受影响组件处理内存中对象的方式存在信息泄漏漏洞。成功利用这些漏洞的攻击者可以获取信息,从而进一步入侵目标系统。

在基于 Web 的攻击情形中,攻击者可能操控网站并试图利用这些漏洞进行攻击。另外,已入侵网站以及接受或托管用户提供内容的网站可能包含经特殊设计的内容,并利用这些漏洞进行攻击。不过,在所有情况下,攻击者无法强制用户查看由攻击者控制的内容。相反,攻击者需要诱使用户执行操作。例如,攻击者可能哄骗用户单击链接以使用户链接到攻击者的网站。

此安全更新通过更正受影响组件处理内存中对象的方式来修复这些漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Internet Explorer 信息泄漏漏洞

CVE-2017-0008

Microsoft 浏览器信息泄漏漏洞

CVE-2017-0009

脚本引擎信息泄漏漏洞

CVE-2017-0049

Internet Explorer 信息泄漏漏洞

CVE-2017-0059

缓解因素

Microsoft 并未发现这些漏洞的任何缓解因素

变通办法

Microsoft 并未发现这些漏洞的任何变通办法

多个 Microsoft 浏览器内存损坏漏洞

当受影响的 Microsoft 浏览器不正确地访问内存中对象时,存在多个远程执行代码漏洞。这些漏洞可能会损坏内存,具体是通过攻击者在当前用户环境中执行任意代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

攻击者可能操控经特殊设计的网站,通过受影响的 Microsoft 浏览器利用这些漏洞进行攻击,然后诱使用户查看该网站。攻击者还可能会利用被入侵的网站或接受或托管用户提供的内容或广告的网站,方法是添加可利用此漏洞的经特殊设计的内容。不过,在任何情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者需要诱使用户执行操作,方法通常是通过电子邮件或即时消息进行诱骗,或者诱使用户打开通过电子邮件发送的附件。

此更新通过修改 Microsoft 浏览器处理内存中对象的方式来修复漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Internet Explorer 内存损坏漏洞

CVE-2017-0018

Microsoft 浏览器内存损坏漏洞

CVE-2017-0037

Internet Explorer 内存损坏漏洞

CVE-2017-0149

缓解因素

Microsoft 并未发现这些漏洞的任何缓解因素

变通办法

Microsoft 并未发现这些漏洞的任何变通办法

常见问题

我正在运行适用于 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 或 Windows Server 2012 R2 的 Internet Explorer。这是否会缓解这些漏洞的影响?
是。Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 以及 Windows Server 2012 R2 上的 Internet Explorer 默认运行在称为增强安全配置的受限模式下。增强安全配置是一组预先配置好的 Internet Explorer 设置,可以减小用户或管理员在服务器上下载并运行经特殊设计的 Web 内容的可能性。此缓解因素适用于未被添加到 Internet Explorer“受信任的站点”区域的网站。

EMET 是否可帮助缓解试图利用这些漏洞的攻击?
是。增强的缓解体验工具包 (EMET) 使用户能够管理安全缓解技术,从而使攻击者更难利用指定软件中的内存损坏漏洞。对于已经安装了 EMET 并配置为可与 Internet Explorer 一起使用的系统,EMET 有助于缓解试图利用 Internet Explorer 中这些漏洞的攻击。

有关 EMET 的详细信息,请参阅增强的缓解体验工具包

多个 Microsoft 浏览器欺骗漏洞

当 Microsoft 浏览器不正确地分析 HTTP 响应时,存在欺骗漏洞。成功利用这些漏洞的攻击者可以通过将用户重定向到经特殊设计的网站来诱骗用户。经特殊设计的网站可以包含欺骗内容,也可以用作关联攻击与 Web 服务中其他漏洞的枢纽。

若要利用这些漏洞,用户必须单击经特殊设计的 URL。在电子邮件攻击情形中,攻击者可以向用户发送包含经特殊设计的 URL 的电子邮件,企图诱使用户单击此 URL。

在基于 Web 的攻击情形中,攻击者必须托管一个旨在让用户感觉合法的经特殊设计的网站。不过,攻击者无法强迫用户访问经特殊设计的网站。攻击者需要诱使用户访问经特殊设计的网站,方法通常是通过电子邮件或即时消息进行诱骗,然后诱使用户与网站内容进行交互。

此更新通过更正 Microsoft 浏览器分析 HTTP 响应的方式来修复这个漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft 浏览器欺骗漏洞

CVE-2017-0012

Microsoft 浏览器欺骗漏洞

CVE-2017-0033

缓解因素

Microsoft 并未发现这些漏洞的任何缓解因素

变通办法

Microsoft 并未发现这些漏洞的任何变通办法

多个脚本引擎内存损坏漏洞

在 Internet Explorer 中处理内存中的对象时,JScript 和 VBScript 引擎的呈现方式存在多个远程执行代码漏洞。这些漏洞可能会损坏内存,具体是通过攻击者在当前用户环境中执行任意代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用这些漏洞的攻击者可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

在基于 Web 的攻击情形中,攻击者可能托管一个经特殊设计的网站,旨在通过 Internet Explorer 利用这些漏洞,然后诱使用户查看该网站。攻击者也可能在托管 IE 呈现引擎的应用程序或 Microsoft Office 文档中嵌入标有“安全初始化”的 ActiveX 控件。攻击者还可能利用受到破坏的网站以及接受或托管用户提供的内容或广告的网站。这些网站可能包含可以利用这些漏洞的特殊设计内容。

此更新通过修改 JScript 和 VBScript 脚本引擎处理内存中对象的方式来修复这些漏洞。

下表包含指向“常见漏洞和披露”列表中相应漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

脚本引擎内存损坏漏洞

CVE-2017-0040

脚本引擎内存损坏漏洞

CVE-2017-0130

缓解因素

Microsoft 并未发现这些漏洞的任何缓解因素

变通办法

Microsoft 并未发现这些漏洞的任何变通办法

脚本引擎信息泄漏漏洞 - CVE-2017-0049

当 Jscript 脚本引擎不正确地处理内存中的对象时,存在信息泄漏漏洞。攻击者可以通过此漏洞检测到用户计算机上的特定文件。在基于 Web 的攻击情形中,攻击者可能拥有一个网站用于试图利用此漏洞。

另外,受到破坏的网站以及接受或托管用户生成的内容的网站可能包含可利用此漏洞的经特殊设计的内容。不过,在所有情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者需要诱使用户执行操作。例如,攻击者可能哄骗用户单击链接以使用户链接到攻击者的网站。

成功利用此漏洞的攻击者可能会读取非有意泄漏的数据。请注意,虽然攻击者无法利用此漏洞来执行代码或直接提升用户权限,但可以利用此漏洞获取信息,以试图进一步危及受影响系统的安全。

此安全更新通过帮助限制返回到受影响的 Microsoft 浏览器的信息来修复此漏洞。

下表包含指向“常见漏洞和披露”列表中相应漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

脚本引擎信息泄漏漏洞

CVE-2017-0049

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

Internet Explorer 特权提升漏洞 - CVE-2017-0154

当 Internet Explorer 不正确地强制实施跨域策略时会存在特权提升漏洞,允许攻击者获取访问域中信息并将其插入其他域。此更新通过帮助确保在 Internet Explorer 中正确实施跨域策略来解决漏洞。

在基于 Web 的攻击情形中,攻击者可能拥有一个网站用于试图利用此漏洞。另外,已入侵网站以及接受或托管用户提供的内容的网站可能包含可利用此漏洞的经特殊设计的内容。不过,在任何情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者需要诱使用户执行操作。例如,攻击者可能哄骗用户单击链接以使用户链接到攻击者的网站。成功利用此漏洞的攻击者可以在受影响的 Internet Explorer 版本中提升特权。

此漏洞本身不允许运行任意代码。但是,此漏洞可能与在运行任意代码时利用提升特权的另一漏洞(例如,远程执行代码漏洞)结合使用。例如,攻击者可以利用另一个漏洞以通过 Internet Explorer 运行任意代码,但是由于 Internet Explorer 启动的进程的上下文,代码可能被限制为在较低的完整性级别(权限非常有限)运行。但是,攻击者随后可能利用此漏洞导致任意代码在中等完整性级别(当前用户的权限)运行。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接:下表包含指向“常见漏洞和披露”列表中每个漏洞标准入口的链接

漏洞标题

CVE 编号

已公开披露

已被利用

Internet Explorer 特权提升漏洞

CVE-2017-0154

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

有关安全更新程序部署信息,请参阅执行摘要中此处引用的 Microsoft 知识库文章。

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定用途的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

  • V1.0(2017 年 3 月 14 日):公告已发布。
页面生成时间:2017-03-08 14:03-08:00。
显示: