Microsoft 安全公告 MS17-007 - 严重

Microsoft Edge 累积安全更新 (4013071)

发布日期:2017 年 3 月 14 日 | 更新时间:2017 年 8 月 8 日

版本:2.0

此安全更新程序修复了 Microsoft Edge 中的多个漏洞。如果用户使用 Microsoft Edge 查看经特殊设计的网页,那么其中最严重的漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

对于 Windows 10 和 Windows Server 2016 上的 Microsoft Edge,此安全更新等级分别为“严重”和“中等”。有关更多信息,请参阅“受影响的软件”部分。

此更新程序通过修改 Microsoft Edge 处理内存中对象的方式来修复这些漏洞。

有关这些漏洞的详细信息,请参阅“漏洞信息”部分。有关此更新的更多信息,请参阅 Microsoft 知识库文章 4013071

以下软件版本都受到影响。未列出的版本表明其支持生命周期已结束或不受影响。若要确定软件以前版本的支持生命周期,请参阅 Microsoft 支持生命周期

对每个受影响软件标记的严重等级假设漏洞可能造成的最大影响。若要了解在此安全公告发布 30 天内漏洞被利用的可能性(相对于严重等级和安全影响),请参阅 3 月份公告摘要中的利用指数。

注意 如需了解使用安全更新程序信息的新方法,请参阅安全更新程序指南。你可以自定义视图,创建受影响软件电子数据表,并通过 RESTful API 下载数据。如需了解更多信息,请参阅安全更新指南常见问题解答。重要提醒:“安全更新程序指南”将替代安全公告。有关更多详细信息,请参阅我们的博客文章 Furthering our commitment to security updates(深化我们对安全更新程序的承诺)。

Microsoft Edge 影响的软件

操作系统

组件

最大安全影响

综合严重等级

替代的更新程序

Microsoft Edge

Windows 10(用于 32 位系统) [1]
(4025338)

Microsoft Edge

远程执行代码

严重

4022727

Windows 10(用于基于 x64 的系统) [1]
(4025338)

Microsoft Edge

远程执行代码

严重

4022727

Windows 10 版本 1511(用于 32 位系统) [1]
(4025338)

Microsoft Edge

远程执行代码

严重

4022714

Windows 10 版本 1511(用于基于 x64 的系统) [1]
(4025338)

Microsoft Edge

远程执行代码

严重

4022714

Windows 10 版本 1607(用于 32 位系统) [1]
(4025338)

Microsoft Edge

远程执行代码

严重

4022715

Windows 10 版本 1607(用于基于 x64 的系统) [1]
(4025338)

Microsoft Edge

远程执行代码

严重

4022715

Windows 10 版本 1703(用于 32 位系统) [1]
(4025338)

Microsoft Edge

远程执行代码

严重

4022725

Windows 10 版本 1703(用于基于 x64 的系统) [1]
(4025338)

Microsoft Edge

远程执行代码

严重

4022725

Windows Server 2016

Windows Server 2016(用于基于 x64 的系统) [1]
(4013429)

Microsoft Edge

远程执行代码

中等

3213986

[1]Windows 10 和 Windows Server 2016 更新为累积更新。除了非安全更新之外,每月安全发布还包括用于影响 Windows 10 的漏洞的所有安全修补程序。可以通过 Microsoft 更新目录获取这些更新。请注意,从 2016 年 12 月 13 日起,Windows 10 和 Windows Server 2016 累积更新详情将在发行说明中归档。请参阅发行说明,了解操作系统内部版本号、已知问题和受影响文件列表信息。

*“替代的更新程序”列仅显示一系列被取代的更新程序中最新的更新程序。有关替代的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库文章编号,然后查看更新详细信息(替代的更新信息位于“程序包详细信息”选项卡中)。

此公告中讨论的 PDF 库漏洞还将在 3 月发布的 Windows PDF 公告 (MS17-009) 中进行讨论。为免受漏洞侵害,是否需要为我的特定系统和 Microsoft Edge 配置安装多个更新?
不需要。运行 Windows 10 系统的客户仅需为系统安装一个累积更新程序,即可免受 CVE-2017-0023 的侵害。PDF 库漏洞还出现在 Microsoft Edge 公告中,因为在 Windows 10 系统中,这些漏洞的安全修补程序存在于累积更新程序随附的 Microsoft Edge 组件中。

以下严重等级假设漏洞可能造成最大影响。若要了解在此安全公告发布 30 天内漏洞被利用的可能性(相对于严重等级和安全影响),请参阅 3 月份公告摘要中的利用指数。

按照“严重等级和影响”表中的规定,“严重”、“重要”和“中等”值指明严重等级。有关详细信息,请参阅安全公告严重等级评定系统。请参阅表中用来指明最大影响的以下缩写关键词:

缩写

最大影响

RCE

远程执行代码

EoP

特权提升

ID

信息泄漏

SFB

安全功能绕过

 


漏洞严重等级和影响

CVE 编号

漏洞标题

Microsoft Edge

CVE-2017-0009

Microsoft 浏览器信息泄漏漏洞

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

CVE-2017-0010

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0011

Microsoft Edge 信息泄漏漏洞

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

CVE-2017-0012

Microsoft 浏览器欺骗漏洞

Windows 客户端:
重要/欺骗

Windows 服务器:
低/欺骗

CVE-2017-0015

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE
(仅影响 Windows 10 和 Windows 10 版本 1511)

CVE-2017-0017

Microsoft Edge 信息泄漏漏洞

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

CVE-2017-0023

Microsoft PDF 内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0032

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0033

Microsoft 浏览器欺骗漏洞

Windows 客户端:
重要/欺骗

Windows 服务器:
低/欺骗

CVE-2017-0034

Microsoft Edge 内存损坏漏洞

Windows 客户端:
严重/RCE
(仅影响 Windows 10 版本 1607)

Windows 服务器:
中等/RCE

CVE-2017-0035

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0037

Microsoft 浏览器内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0065

Microsoft 浏览器信息泄漏漏洞

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

CVE-2017-0066

Microsoft Office 安全功能绕过漏洞

Windows 客户端:
重要/SFB

Windows 服务器:
低/SFB

CVE-2017-0067

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0068

Microsoft Edge 信息泄漏漏洞

Windows 客户端:
重要/ID

Windows 服务器:
低/ID

CVE-2017-0069

Microsoft Edge 欺骗漏洞

Windows 客户端:
重要/欺骗

Windows 服务器:
低/欺骗

CVE-2017-0070

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0071

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0094

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0131

脚本引擎内存损坏漏洞

Windows 客户端:
重要/RCE

Windows 服务器
低/RCE

CVE-2017-0132

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0133

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE
(仅影响 Windows 10 版本 1511 和 1607)

Windows 服务器:
中等/RCE

CVE-2017-0134

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0135

Microsoft Edge 安全功能绕过

Windows 客户端:
重要/SFB

Windows 服务器:
低/SFB

CVE-2017-0136

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE
(仅影响 Windows 10 版本 1607)

CVE-2017-0137

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0138

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0140

Microsoft Edge 安全功能绕过

Windows 客户端:
重要/SFB
(仅影响 Windows 10 版本 1607)

Windows 服务器:
低/SFB

CVE-2017-0141

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE

Windows 服务器:
中等/RCE

CVE-2017-0150

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE
(仅影响 Windows 10 版本 1607)

Windows 服务器:
中等/RCE

CVE-2017-0151

脚本引擎内存损坏漏洞

Windows 客户端:
严重/RCE
(仅影响 Windows 10 版本 1607)

Windows 服务器:
中等/RCE

多个 Microsoft 脚本引擎内存损坏漏洞

在 Microsoft 浏览器中处理内存中的对象时,受影响的 Microsoft 脚本引擎呈现的方式存在多个远程执行代码漏洞。这些漏洞可能会损坏内存,具体是通过攻击者在当前用户环境中执行任意代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用这些漏洞的攻击者可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

在基于 Web 的攻击情形中,攻击者可能操控经特殊设计的网站,通过 Microsoft 浏览器利用漏洞进行攻击,然后诱使用户查看该网站。攻击者也可能在托管 Edge 呈现引擎的应用程序或 Microsoft Office 文档中嵌入标有“安全初始化”的 ActiveX 控件。攻击者还可能利用受到破坏的网站以及接受或托管用户提供的内容或广告的网站。这些网站可能包含可以利用漏洞的经特殊设计的内容。

此安全更新通过修改受影响的 Microsoft 脚本引擎处理内存中对象的方式来修复漏洞。

下表包含指向“常见漏洞和披露”列表中各漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

脚本引擎内存损坏漏洞

CVE-2017-0010

脚本引擎内存损坏漏洞

CVE-2017-0015

脚本引擎内存损坏漏洞

CVE-2017-0032

脚本引擎内存损坏漏洞

CVE-2017-0035

脚本引擎内存损坏漏洞

CVE-2017-0067

脚本引擎内存损坏漏洞

CVE-2017-0070

脚本引擎内存损坏漏洞

CVE-2017-0071

脚本引擎内存损坏漏洞

CVE-2017-0094

脚本引擎内存损坏漏洞

CVE-2017-0131

脚本引擎内存损坏漏洞

CVE-2017-0132

脚本引擎内存损坏漏洞

CVE-2017-0133

脚本引擎内存损坏漏洞

CVE-2017-0134

脚本引擎内存损坏漏洞

CVE-2017-0136

脚本引擎内存损坏漏洞

CVE-2017-0137

脚本引擎内存损坏漏洞

CVE-2017-0138

脚本引擎内存损坏漏洞

CVE-2017-0141

脚本引擎内存损坏漏洞

CVE-2017-0150

脚本引擎内存损坏漏洞

CVE-2017-0151

缓解因素

Microsoft 并未发现这些漏洞的任何缓解因素

变通办法

Microsoft 并未发现这些漏洞的任何变通办法

多个 Microsoft Edge 信息泄漏漏洞

受影响组件处理内存中对象的方式存在多个信息泄漏漏洞。成功利用这些漏洞的攻击者可以获取信息,从而进一步入侵目标系统。

在基于 Web 的攻击情形中,攻击者可以托管一个用于试图利用这些漏洞的网站。另外,已入侵网站以及接受或托管用户提供内容的网站可能包含经特殊设计的内容,并利用这些漏洞进行攻击。不过,在所有情况下,攻击者无法强制用户查看由攻击者控制的内容。相反,攻击者需要诱使用户执行操作。例如,攻击者可能哄骗用户单击链接以使用户链接到攻击者的网站。

此安全更新通过更正受影响组件处理内存中对象的方式来修复这些漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft 浏览器信息泄漏漏洞

CVE-2017-0009

Microsoft Edge 信息泄漏漏洞

CVE-2017-0011

Microsoft Edge 信息泄漏漏洞

CVE-2017-0017

Microsoft 浏览器信息泄漏漏洞

CVE-2017-0065

Microsoft Edge 信息泄漏漏洞

CVE-2017-0068

缓解因素

Microsoft 并未发现这些漏洞的任何缓解因素

变通办法

Microsoft 并未发现这些漏洞的任何变通办法

多个 Microsoft Edge 欺骗漏洞

当 Microsoft 浏览器不正确地分析 HTTP 响应时,存在多个欺骗漏洞。成功利用这些漏洞的攻击者可以通过将用户重定向到经特殊设计的网站来诱骗用户。经特殊设计的网站可以包含欺骗内容,也可以用作关联攻击与 Web 服务中其他漏洞的枢纽。

若要利用这些漏洞,用户必须单击经特殊设计的 URL。在电子邮件攻击情形中,攻击者可以向用户发送包含经特殊设计的 URL 的电子邮件,企图诱使用户单击此 URL。

在基于 Web 的攻击情形中,攻击者必须托管一个旨在让用户感觉合法的经特殊设计的网站。不过,攻击者无法强迫用户访问经特殊设计的网站。攻击者需要诱使用户访问经特殊设计的网站,方法通常是通过电子邮件或即时消息进行诱骗,然后诱使用户与网站内容进行交互。

此更新通过更正 Microsoft 浏览器分析 HTTP 响应的方式来修复这些漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft 浏览器欺骗漏洞

CVE-2017-0012

Microsoft 浏览器欺骗漏洞

CVE-2017-0033

Microsoft Edge 欺骗漏洞

CVE-2017-0069

缓解因素

Microsoft 并未发现这些漏洞的任何缓解因素

变通办法

Microsoft 并未发现这些漏洞的任何变通办法

Microsoft 浏览器内存损坏漏洞 CVE-2017-0037

当 Microsoft Edge 不正确地访问内存中的对象时,存在远程执行代码漏洞。这些漏洞可能会损坏内存,并允许攻击者在当前用户的上下文中执行任意代码。

攻击者可能拥有一个旨在通过 Microsoft Edge 利用此漏洞的经特殊设计的网站,然后诱使用户查看该网站。攻击者还可能会通过添加可利用此漏洞的经特殊设计的内容,利用被入侵的网站以及接受或托管用户提供的内容或广告的网站。不过,在任何情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者需要诱使用户执行操作,方法通常是通过电子邮件或即时消息进行诱骗,或者诱使用户打开通过电子邮件发送的附件。

为了实现完整的代码执行,对手也需要将此漏洞与其他漏洞相结合。成功组合多个漏洞创建一个漏洞链的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

此更新程序通过修改 Microsoft Edge 处理内存中对象的方式来修复这些漏洞。

下表包含指向“常见漏洞和披露”列表中漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft 浏览器内存损坏漏洞

CVE-2017-0037

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

Microsoft PDF 内存损坏漏洞 CVE - 2017-0023

当 Microsoft Windows PDF 库不正确地处理内存中的对象时,存在远程执行代码漏洞。该漏洞可能以一种使攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

若要在将 Microsoft Edge 设置为默认浏览器的 Windows 10 系统上利用此漏洞,攻击者可以托管一个经特殊设计的包含恶意 PDF 内容的网站,然后诱使用户查看该网站。攻击者还可能会利用被入侵的网站或者接受或托管用户提供的内容或广告的网站,方法是向此类网站添加经特殊设计的 PDF 内容。仅将 Microsoft Edge 设置为默认浏览器的 Windows 10 系统可以只通过查看某个网站而被入侵。所有其他受影响的操作系统的浏览器不会自动呈现 PDF 内容,因此攻击者无法强制用户查看由攻击者控制的内容。因而攻击者必须诱使用户打开某个经特殊设计的 PDF 文档,通常是通过电子邮件或即时消息进行诱骗或通过电子邮件附件。

此更新程序通过修改受影响的系统处理内存中对象的方式来修复这些漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft PDF 内存损坏漏洞

CVE-2017-0023

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

多个 Microsoft Edge 安全功能绕过漏洞

当 Microsoft Edge 无法对其他浏览器窗口中存在的 HTML 元素正确应用同源策略时,存在多个安全功能绕过漏洞。

攻击者可以欺骗用户加载包含恶意内容的页面。若要利用这些漏洞,攻击者需要欺骗用户加载页面或访问站点。该页面还可被注入到遭到入侵的站点或广告网络。

此更新通过更正同源策略检查尝试在其他浏览器窗口中处理 HTML 元素的脚本来修复这些漏洞。

下表包含指向“常见漏洞和披露”列表中漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft Office 安全功能绕过漏洞

CVE-2017-0066

Microsoft Office 安全功能绕过漏洞

CVE-2017-0135

Microsoft Office 安全功能绕过漏洞

CVE-2017-0140

缓解因素

Microsoft 并未发现这些漏洞的任何缓解因素

变通办法

Microsoft 并未发现这些漏洞的任何变通办法

Microsoft Edge 内存损坏漏洞 - CVE-2017-0034

当 Microsoft Edge 不正确地访问内存中的对象时,存在远程执行代码漏洞。该漏洞可能以一种使攻击者可以在当前用户环境中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

攻击者可能拥有一个旨在通过 Microsoft Edge 利用此漏洞的经特殊设计的网站,然后诱使用户查看该网站。攻击者还可能会通过添加可利用此漏洞的经特殊设计的内容,利用被入侵的网站以及接受或托管用户提供的内容或广告的网站。不过,在任何情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者需要诱使用户执行操作,方法通常是通过电子邮件或即时消息进行诱骗,或者诱使用户打开电子邮件附件。

此更新通过修改 Microsoft Edge 处理内存中对象的方式来修复此漏洞。

下表包含指向“常见漏洞和披露”列表中漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft Edge 内存损坏漏洞

CVE-2017-0034

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现这些漏洞的任何变通办法

有关安全更新部署的信息,请参阅执行摘要中此处引用的 Microsoft 知识库文章。

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定用途的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

  • V1.0(2017 年 3 月 14 日):公告已发布。
  • V2.0(2017 年 8 月 8 日):为了全面修复 CVE-2017-0071,Microsoft 已于 6 月发布了面向 Windows 10 所有版本的安全更新。现在,由于 Windows 10(用于 32 位系统)、Windows 10(用于基于 x64 的系统)、Windows 10 版本 1703(用于 32 位系统)和 Windows 10 版本 1703(用于基于 x64 的系统)也受到了此漏洞的影响,已将其添加到了“受影响的产品”表中。Microsoft 建议尚未安装 2017 年 7 月安全更新的客户安装这些安全更新,以完全防止此漏洞。
页面生成时间:2017-08-02 09:24-07:00。
显示: