Microsoft 安全公告 MS17-014 - 重要

Microsoft Office 安全更新 (4013241)

发布日期:2017 年 3 月 14 日 | 更新时间:2017 年 4 月 11 日

版本:2.0

此安全更新可修复 Microsoft Office 中的多个漏洞。如果用户打开经特殊设计的 Microsoft Office 文件,则其中最严重的漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以在当前用户的上下文中运行任意代码。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的客户受到的影响更小。

有关这些漏洞的更多信息,请参阅受影响的软件和漏洞严重等级部分。

此安全更新修复漏洞的方式如下:

  • 更正 Office 在内存中处理对象的方式
  • 更改特定功能处理内存中的对象的方式
  • 正确初始化受影响的变量
  • 帮助确保 SharePoint 服务器正确审查 Web 请求
  • 更正 Lync for Mac 2011 客户端验证证书的方式

有关这些漏洞的更多信息,请参阅漏洞信息部分。

有关此更新的更多信息,请参阅 Microsoft 知识库文章 4013241。 

以下软件版本都受到影响。未列出的版本表明其支持生命周期已结束或不受影响。若要确定软件版本的支持生命周期,请参阅 Microsoft 支持生命周期

以下严重等级假设漏洞可能造成最大影响。若要了解在此安全公告发布 30 天内漏洞被利用的可能性(相对于严重等级和安全影响),请参阅 3 月份公告摘要中的利用指数。 

注意 如需了解使用安全更新程序信息的新方法,请参阅安全更新程序指南。你可以自定义视图,创建受影响软件电子数据表,并通过 RESTful API 下载数据。如需了解更多信息,请参阅安全更新指南常见问题解答。重要提醒:“安全更新程序指南”将替代安全公告。有关更多详细信息,请参阅我们的博客文章 Furthering our commitment to security updates(深化我们对安全更新程序的承诺)。


Microsoft Office 软件(表 2-1)

受影响的软件

Microsoft Office 内存损坏漏洞 – CVE-2017-0006

Microsoft Office 内存损坏漏洞 – CVE-2017-0019

Microsoft Office 内存损坏漏洞 – CVE-2017-0020

Microsoft Office 信息泄漏漏洞 - CVE-2017-0027

Microsoft Office 拒绝服务漏洞 – CVE-2017-0029

替代的更新*

Microsoft Office 2007

Microsoft Excel 2007 Service Pack 3
(3178676)

重要
远程代码执行

不适用

不适用

重要
信息泄漏

不适用

MS16-148 中的 3128019

Microsoft Word 2007 Service Pack 3
(3178683)

不适用

不适用

不适用

不适用

不适用

MS16-148 中的 3128025

Microsoft Office 2010

Microsoft Office 2010 Service Pack 2(32 位版本)
(3178686)

不适用

不适用

不适用

不适用

重要
拒绝服务

MS16-148 中的 3128032

Microsoft Office 2010 Service Pack 2(64 位版本)
(3178686)

不适用

不适用

不适用

不适用

重要
拒绝服务

MS16-148 中的 3128032

Microsoft Excel 2010 Service Pack 2(32 位版本)
(3178690)

不适用

不适用

重要
远程代码执行

重要
信息泄漏

不适用

MS16-148 中的 3128037

Microsoft Excel 2010 Service Pack 2(64 位版本)
(3178690)

不适用

不适用

重要
远程代码执行

重要
信息泄漏

不适用

MS16-148 中的 3128037

Microsoft Word 2010 Service Pack 2(32 位版本)
(3178687)

不适用

不适用

不适用

不适用

重要
拒绝服务

MS16-148 中的 3128034

Microsoft Word 2010 Service Pack 2(64 位版本)
(3178687)

不适用

不适用

不适用

不适用

重要
拒绝服务

MS16-148 中的 3128034

Microsoft Office 2013

Microsoft Excel 2013 Service Pack 1(32 位版本)
(3172542)

不适用

不适用

重要
远程代码执行

重要
信息泄漏

不适用

MS16-148 中的 3128008

Microsoft Excel 2013 Service Pack 1(64 位版本)
(3172542)

不适用

不适用

重要
远程代码执行

重要
信息泄漏

不适用

MS16-148 中的 3128008

Microsoft Word 2013 Service Pack 1(32 位版本)
(3172464)

不适用

不适用

不适用

不适用

重要
拒绝服务

MS16-133 中的 3127932

Microsoft Word 2013 Service Pack 1(64 位版本)
(3172464)

不适用

不适用

不适用

不适用

重要
拒绝服务

MS16-133 中的 3127932

Microsoft Office 2013 RT

Microsoft Excel 2013 RT Service Pack 1[1]
(3172542)

不适用

不适用

重要
远程代码执行

重要
信息泄漏

不适用

MS16-148 中的 3128008

Microsoft Word 2013 RT Service Pack 1[1](3172464)

不适用

不适用

不适用

不适用

重要
拒绝服务

MS16-133 中的 3127932

Microsoft Office 2016

Microsoft Excel 2016(32 位版本)
(3178673)

不适用

不适用

重要
远程代码执行

重要
信息泄漏

不适用

MS16-148 中的 3128016

Microsoft Excel 2016(64 位版本)
(3178673)

不适用

不适用

重要
远程代码执行

重要
信息泄漏

不适用

MS16-148 中的 3128016

Microsoft Word 2016(32 位版本)
(3178674)

不适用

重要
远程代码执行

不适用

不适用

重要
拒绝服务

MS17-002 中的 3128057

Microsoft Word 2016(64 位版本)
(3178674)

不适用

重要
远程代码执行

不适用

不适用

重要
拒绝服务

MS17-002 中的 3128057

Microsoft Office for Mac 2011

Microsoft Excel for Mac 2011
(3198809)

不适用

不适用

不适用

不适用

不适用

MS16-015 中的 3198808

Microsoft Excel for Mac 2011
(3212218)

不适用

不适用

不适用

重要
信息泄漏

不适用

MS17-014 中的 3198809

Microsoft Word for Mac 2011
(3198809)

不适用

不适用

不适用

不适用

不适用

MS16-015 中的 3198808

Microsoft Word for Mac 2011
(3212218)

不适用

不适用

不适用

不适用

不适用

MS16-015 中的 3198808

Microsoft Office 2016 for Mac

Microsoft Office 2016 for Mac

不适用

不适用

不适用

不适用

重要
拒绝服务

Microsoft Excel 2016 for Mac

不适用

不适用

重要
远程代码执行

重要
信息泄漏

不适用

其他 Office 软件

Microsoft Office 兼容包 Service Pack 3
(3178677)

重要
远程代码执行

不适用

不适用

重要
信息泄漏

不适用

MS16-148 中的 3128022

Microsoft Office 兼容包 Service Pack 3
(3178682)

不适用

不适用

不适用

不适用

不适用

MS16-148 中的 3128024

Microsoft Excel Viewer
(3178680)

重要
远程代码执行

不适用

不适用

不适用

不适用

MS16-148 中的 3128023

Microsoft Word Viewer
(3178694)

不适用

不适用

不适用

不适用

不适用

MS16-148 中的 3128044

[1]此更新程序通过 Windows 更新提供。

*“替代的更新”列仅显示一系列被取代的更新中的最新更新。有关替代的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库文章编号,然后查看更新详细信息(替代的更新信息位于“程序包详细信息”选项卡)。

Microsoft Office 软件(表 2-2)


受影响的软件

Microsoft Office 内存损坏漏洞 – CVE-2017-0030

Microsoft Office 内存损坏漏洞 – CVE-2017-0031

Microsoft Office 内存损坏漏洞 – CVE-2017-0052

Microsoft Office 内存损坏漏洞 – CVE-2017-0053

Microsoft Office 信息泄漏漏洞 - CVE-2017-0105

替代的更新*

Microsoft Office 2007

Microsoft Excel 2007 Service Pack 3
(3178676)

不适用

不适用

重要
远程代码执行

不适用

不适用

MS16-148 中的 3128019

Microsoft Word 2007 Service Pack 3
(3178683)

重要
远程代码执行

重要
远程代码执行

不适用

重要
远程代码执行

重要
信息泄漏

MS16-148 中的 3128025

Microsoft Office 2010

Microsoft Office 2010 Service Pack 2(32 位版本)
(3178686)

重要
远程代码执行

重要
远程代码执行

不适用

重要
远程代码执行

重要
信息泄漏

MS16-148 中的 3128032

Microsoft Office 2010 Service Pack 2(64 位版本)
(3178686)

重要
远程代码执行

重要
远程代码执行

不适用

重要
远程代码执行

重要
信息泄漏

MS16-148 中的 3128032

Microsoft Excel 2010 Service Pack 2(32 位版本)
(3178690)

不适用

不适用

不适用

不适用

不适用

MS16-148 中的 3128037

Microsoft Excel 2010 Service Pack 2(64 位版本)
(3178690)

不适用

不适用

不适用

不适用

不适用

MS16-148 中的 3128037

Microsoft Word 2010 Service Pack 2(32 位版本)
(3178687)

重要
远程代码执行

重要
远程代码执行

不适用

重要
远程代码执行

重要
信息泄漏

MS16-148 中的 3141542

Microsoft Word 2010 Service Pack 2(64 位版本)
(3178687)

重要
远程代码执行

重要
远程代码执行

不适用

重要
远程代码执行

重要
信息泄漏

MS16-148 中的 3141542

Microsoft Office 2013

Microsoft Excel 2013 Service Pack 1(32 位版本)
(3172542)

不适用

不适用

不适用

不适用

不适用

MS16-148 中的 3128008

Microsoft Excel 2013 Service Pack 1(64 位版本)
(3172542)

不适用

不适用

不适用

不适用

不适用

MS16-148 中的 3128008

Microsoft Word 2013 Service Pack 1(32 位版本)
(3172464)

不适用

不适用

不适用

重要
远程代码执行

不适用

MS16-133 中的 3127932

Microsoft Word 2013 Service Pack 1(64 位版本)
(3172464)

不适用

不适用

不适用

重要
远程代码执行

不适用

MS16-133 中的 3127932

Microsoft Office 2013 RT

Microsoft Excel 2013 RT Service Pack 1[1]
(3172542)

不适用

不适用

不适用

不适用

不适用

MS16-148 中的 3128008

Microsoft Word 2013 RT Service Pack 1[1](3172464)

不适用

不适用

不适用

重要
远程代码执行

不适用

MS16-133 中的 3127932

Microsoft Office 2016

Microsoft Excel 2016(32 位版本)
(3178673)

不适用

不适用

不适用

不适用

不适用

MS16-148 中的 3128016

Microsoft Excel 2016(64 位版本)
(3178673)

不适用

不适用

不适用

不适用

不适用

MS16-148 中的 3128016

Microsoft Word 2016(32 位版本)
(3178674)

不适用

不适用

不适用

重要
远程代码执行

不适用

MS17-002 中的 3128057

Microsoft Word 2016(64 位版本)
(3178674)

不适用

不适用

不适用

重要
远程代码执行

不适用

MS17-002 中的 3128057

Microsoft Office for Mac 2011

Microsoft Excel for Mac 2011
(3198809)

不适用

不适用

不适用

不适用

不适用

MS16-015 中的 3198808

Microsoft Excel for Mac 2011
(3212218)

不适用

不适用

不适用

不适用

不适用

MS17-014 中的 3198809

Microsoft Word for Mac 2011
(3198809)

重要
远程代码执行

重要
远程代码执行

不适用

不适用

重要
信息泄漏

MS16-015 中的 3198808

Microsoft Word for Mac 2011
(3212218)

不适用

不适用

不适用

不适用

不适用

MS17-014 中的 3198809

Microsoft Office 2016 for Mac

Microsoft Office 2016 for Mac

不适用

不适用

不适用

不适用

不适用

Microsoft Excel 2016 for Mac

不适用

不适用

不适用

不适用

不适用

其他 Office 软件

Microsoft Office 兼容包 Service Pack 3
(3178677)

不适用

不适用

重要
远程代码执行

不适用

不适用

MS16-148 中的 3128022

Microsoft Office 兼容包 Service Pack 3
(3178682)

重要
远程代码执行

重要
远程代码执行

不适用

重要
远程代码执行

重要
信息泄漏

MS16-148 中的 3128024

Microsoft Excel Viewer
(3178680)

不适用

不适用

重要
远程代码执行

不适用

不适用

MS16-148 中的 3128023

Microsoft Word Viewer
(3178694)

不适用

不适用

不适用

重要
远程代码执行

不适用

MS16-148 中的 3128044

[1]此更新程序通过 Windows 更新提供。

*“替代的更新”列仅显示一系列被取代的更新中的最新更新。有关替代的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库文章编号,然后查看更新详细信息(替代的更新信息位于“程序包详细信息”选项卡)。

 

Microsoft Office Services 和 Web Apps

受影响的软件

Microsoft Office 内存损坏漏洞 – CVE-2017-0006

Microsoft Office 内存损坏漏洞 – CVE-2017-0020

Microsoft Office 信息泄漏漏洞 - CVE-2017-0027

Microsoft Office 内存损坏漏洞 – CVE-2017-0030

Microsoft Office 内存损坏漏洞 – CVE-2017-0052

Microsoft Office 信息泄漏漏洞 - CVE-2017-0105

替代的更新*

Microsoft SharePoint Server 2007

Microsoft SharePoint Server 2007 Service Pack 3(32 位版本)上的 Excel Services
(3178678)

重要
远程代码执行

不适用

不适用

不适用

重要
远程代码执行

不适用

MS16-148 中的 3127892

Microsoft SharePoint Server 2007 Service Pack 3(64 位版本)上的 Excel Services
(3178678)

重要
远程代码执行

不适用

不适用

不适用

重要
远程代码执行

不适用

MS16-148 中的 3127892

Microsoft SharePoint Server 2010

Microsoft SharePoint Server 2010 Service Pack 2 上的 Excel Services
(3178685)

不适用

不适用

重要
信息泄漏

不适用

不适用

不适用

MS16-148 中的 3128029

Microsoft SharePoint Server 2010 Service Pack 2 上的 Word Automation Services
(3178684)

不适用

不适用

不适用

重要
远程代码执行

不适用

重要
信息泄漏

MS16-070 中的 3128026

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013 Service Pack 1 上的 Excel Services
(3172431)

不适用

不适用

重要
信息泄漏

不适用

不适用

不适用

MS16-107 中的 3115169

Microsoft Office Web Apps 2010

Microsoft Office Web Apps 2010 Service Pack 2
(3178689)

不适用

不适用

不适用

重要
信息泄漏

不适用

重要
信息泄漏

MS16-148 中的 3128035

Microsoft Office Web Apps 2013

Microsoft Office Web Apps Server 2013 Service Pack 1
(3172457)

不适用

重要
远程代码执行

不适用

不适用

不适用

不适用

MS16-133 中的 3127929

*“替代的更新程序”列仅显示一系列被取代的更新程序中最新的更新程序。有关替代的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库文章编号,然后查看更新详细信息(替代的更新信息位于“程序包详细信息”选项卡)。

 

Microsoft Server 软件

受影响的软件

Microsoft SharePoint XSS 漏洞 – CVE-2017-0107

替代的更新*

Microsoft SharePoint Server 2013

Microsoft SharePoint Foundation 2013 Service Pack 1
(3172540)

重要
特权提升

MS16-088 中的 3115294

*“替代的更新程序”列仅显示一系列被取代的更新程序中最新的更新程序。有关替代的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库文章编号,然后查看更新详细信息(替代的更新信息位于“程序包详细信息”选项卡)。

 

Microsoft 通信平台和软件

受影响的软件

Microsoft Lync for Mac 证书验证漏洞 – CVE-2017-0129

替代的更新*

Microsoft Lync for Mac

Microsoft Lync for Mac 2011
(4012487)

重要
安全功能绕过

*“替代的更新”列仅显示一系列被取代的更新中的最新更新。有关替代的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库文章编号,然后查看更新详细信息(替代的更新信息位于“程序包详细信息”选项卡)。

 

这些更新程序是否包含其他任何与安全相关的功能更改?
是。除了针对本公告中所述漏洞列出的更改之外,此更新程序还包括纵深防御更新程序,可帮助改进与安全相关的功能。

我安装了 Microsoft Word 2010。为什么没有向我提供更新程序 3178686?
更新 3178686 仅适用于运行 Microsoft Office 2010 特定配置的系统。某些配置不会收到此更新。

针对未在“受影响的软件和漏洞严重等级”表中作为受影响方特别列出的软件向我提供此更新。为什么要向我提供此更新?
当更新程序修复在多个 Microsoft Office 产品之间共享或者在相同 Microsoft Office 产品的多个版本之间共享的一个组件中存在的易受攻击的代码时,此更新程序被视为适用于包含易受攻击的组件的所有受支持产品和版本。

例如,当某更新程序适用于 Microsoft Office 2007 产品时,“受影响的软件”表中可能只会特别列出 Microsoft Office 2007。不过,此更新程序可能适用于 Microsoft Word 2007、Microsoft Excel 2007、Microsoft Visio 2007、Microsoft 兼容包、Microsoft Excel Viewer 或其他任何并未在“受影响的软件”表中特别列出的 Microsoft Office 2007 产品。此外,当某更新程序适用于 Microsoft Office 2010 产品时,“受影响的软件”表中可能只会特别列出 Microsoft Office 2010。不过,此更新程序可能适用于 Microsoft Word 2010、Microsoft Excel 2010、Microsoft Visio 2010、Microsoft Visio Viewer 或其他任何并未在“受影响的软件”表中特别列出的 Microsoft Office 2010 产品。

有关此行为和建议操作的详细信息,请参阅 Microsoft 知识库文章 830335。有关更新程序可能适用的 Microsoft Office 产品列表,请参阅与特定更新程序相关的 Microsoft 知识库文章。

多个 Microsoft Office 内存损坏漏洞

当 Office 软件不正确地处理内存中的对象时,Microsoft Office 软件中会存在多个远程执行代码漏洞。成功利用这些漏洞的攻击者可以在当前用户的上下文中运行任意代码。如果当前用户使用管理用户权限登录,那么攻击者就可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。

漏洞攻击要求用户使用受影响的 Microsoft Office 软件版本打开一个经特殊设计的文件。在电子邮件攻击场景中,攻击者可能通过向用户发送特别生成的文件并诱导用户打开该文件以攻击漏洞。在基于 Web 的攻击场景中,攻击者可能托管网站(或利用一个接受或托管用户所提供内容的受影响网站),其中包含特定生成的文件以攻击漏洞。攻击者无法强迫用户访问此网站。相反,攻击者必须诱导用户点击链接,通常是在电子邮件或即时消息中放置诱导信息,让用户打开特别生成的文件。

请注意,预览窗格并不是这些漏洞的攻击平台。此安全更新通过更正 Office 处理内存中对象的方式来修复漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft Office 内存损坏漏洞

CVE-2017-0006

Microsoft Office 内存损坏漏洞

CVE-2017-0019

Microsoft Office 内存损坏漏洞

CVE-2017-0020

Microsoft Office 内存损坏漏洞

CVE-2017-0030

Microsoft Office 内存损坏漏洞

CVE-2017-0031

Microsoft Office 内存损坏漏洞

CVE-2017-0052

Microsoft Office 内存损坏漏洞

CVE-2017-0053

缓解因素

Microsoft 并未发现这些漏洞的任何缓解因素

变通办法

以下变通办法在您遇到的情形中可能会有所帮助:

CVE-2017-0019 的变通办法

  • 使用 Microsoft Office 文件阻止策略防止 Office 打开来自未知或不受信任来源的 RTF 文档

    警告 如果你不正确地使用注册表编辑器,则可能导致严重问题(你或许需要重新安装操作系统)。Microsoft 不保证您可以解决因错误使用注册表编辑器而产生的问题。使用注册表编辑器的风险由您自己承担。

    对于 Office 2016

    1. 以管理员身份运行 regedit.exe,然后导航到下面的子项:
      [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock] 
      
    2. RtfFiles DWORD 值设置为 2
    3. 将 OpenInProtectedView DWORD 值设置为 0

     

    变通办法的影响。配置了文件阻止策略但是尚未按照 Microsoft 知识库文章 922849 所述配置特殊“例外目录”的用户将无法打开以 RTF 格式保存的文档。

    如何撤消变通方法

    对于 Office 2016

    1. 以管理员身份运行 regedit.exe,然后导航到下面的子项:
      [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock] 
      
    2. RtfFiles DWORD 值设置为 0
    3. 将 OpenInProtectedView DWORD 值设置为 0

Microsoft Office 信息泄漏漏洞 - CVE-2017-0027

当 Microsoft Office 不正确地披露内存内容时,就会存在信息泄漏漏洞。利用此漏洞的攻击者可以使用这些信息来危害用户的计算机或数据。

为了利用该漏洞,攻击者可能制作一个特别的文档文件,然后诱使用户将其打开。攻击者必须知道创建该对象时所在的内存地址位置。

此更新通过更改某些函数处理内存中对象的方式来修复这个漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft Office 信息泄漏漏洞

CVE-2017-0027

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

 

Microsoft Office 拒绝服务漏洞 – CVE-2017-0029

在 Microsoft Office 中打开经特殊设计的文件时,存在拒绝服务漏洞。成功利用此漏洞的攻击者可能导致 Office 停止响应。请注意,拒绝服务不允许攻击者执行代码或提升攻击者的用户权限。

为了成功地执行攻击,此漏洞要求用户使用受影响的 Microsoft Office 版本打开经特殊设计的文件。在电子邮件攻击情形中,攻击者可以通过向用户发送特制的文件并诱使用户打开该文件来利用此漏洞。

该安全更新程序通过更正 Microsoft Office 处理内存中对象的方式来解决漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft Office 拒绝服务漏洞

CVE-2017-0029

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

 

Microsoft Office 信息泄漏漏洞 - CVE-2017-0105

由于未初始化变量导致 Microsoft Office 软件读取内存越界,进而泄露内存内容时,就会存在信息泄漏漏洞。成功利用此漏洞的攻击者可以查看溢出内存。

漏洞攻击要求用户使用受影响的 Microsoft Office 软件版本打开经特殊设计的文件。

此安全更新通过正确初始化受影响的变量来修复此漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft Office 信息泄漏漏洞

CVE-2017-0105

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

 

Microsoft SharePoint XSS 漏洞 – CVE-2017-0107

当 Microsoft SharePoint Server 未正确地审查发往受影响的 SharePoint 服务器的经特殊设计的 Web 请求时,存在特权提升漏洞。经过身份验证的攻击者可能通过向受影响的 SharePoint 服务器发送经特别设计的请求来利用此漏洞。

成功利用这些漏洞的攻击者可能在受影响的系统上执行跨站点脚本攻击,并在当前用户的安全上下文中运行脚本。这些攻击可让攻击者阅读他们未授权阅读的内容、使用受害者的身份代表受害者在 SharePoint 网站上执行操作(例如,更改权限和删除内容)以及在受害者的浏览器中注入恶意内容。

该安全更新通过帮助确保 SharePoint Server 正确审查用户输入来修复此漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft SharePoint XSS 漏洞

CVE-2017-0107

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法


Microsoft Lync for Mac 证书验证漏洞 – CVE-2017-0129

当 Lync for Mac 2011 客户端无法正确验证证书时,存在安全功能绕过漏洞。成功利用此漏洞的攻击者可能会篡改服务器和目标客户端之间的可信通信。

为了利用此漏洞,攻击者需要拦截和篡改网络通信。

此安全更新通过更正 Lync for Mac 2011 客户端验证证书的方式来修复此漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准入口的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft Lync for Mac 证书验证漏洞

CVE-2017-0129

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

有关安全更新部署的信息,请参阅执行摘要中此处引用的 Microsoft 知识库文章。

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢。 

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定用途的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

  • V1.0(2017 年 3 月 14 日):公告已发布。
  • V2.0(2017 年 4 月 11 日):为了仅全面修复 Office for Mac 2011 的 CVE-2017-0027,Microsoft 将发布安全更新 3212218。Microsoft 建议运行 Office for Mac 2011 的客户安装更新 3212218,以完全防止此漏洞。有关更多信息,请参阅 Microsoft 知识库文章 3212218
页面生成时间:2017-04-10 14:50-07:00。
显示: