Microsoft 安全公告 MS17-015 - 重要

Microsoft Exchange Server 安全更新 (4013242)

发布日期:2017 年 3 月 14 日

版本:1.0

此安全更新可修复 Microsoft Exchange Outlook Web Access (OWA) 中的漏洞。

如果攻击者向易受攻击的 Exchange 服务器发送附带经特殊设计的附件的电子邮件,则该漏洞可能允许在 Exchange Server 中远程执行代码。

对于 Microsoft Exchange Server 2013 和 Microsoft Exchange Server 2016 的所有受支持的版本,此安全更新的等级为“重要”。有关更多信息,请参阅受影响的软件和漏洞严重等级部分。

该安全更新通过更正 Microsoft Exchange 验证 Web 请求的方式来修复此漏洞。

有关此漏洞的更多信息,请参阅漏洞信息部分。

有关此更新的更多信息,请参阅 Microsoft 知识库文章 4013242

以下软件版本都受到影响。未列出的版本表明其支持生命周期已结束或不受影响。若要确定软件版本的支持生命周期,请参阅 Microsoft 支持生命周期

对每个受影响软件标记的严重等级假设漏洞可能造成的最大影响。若要了解在此安全公告发布 30 天内漏洞被利用的可能性(相对于严重等级和安全影响),请参阅 3 月份公告摘要中的利用指数。

Microsoft Server 软件

Microsoft Exchange Server 特权提升漏洞 - CVE-2017-0110

替代的更新*

Microsoft Exchange Server 2013 Service Pack 1
(4012178)

重要
特权提升

MS16-108 中的 3184736

Microsoft Exchange Server 2013 累积更新 14
(4012178)

重要
特权提升

MS16-108 中的 3184736

Microsoft Exchange Server 2016 累积更新 3
(4012178)

重要
特权提升

MS16-108 中的 3184736

*“替代的更新”列仅显示一系列被取代的更新中最新的更新。有关替代的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库文章编号,然后查看更新详细信息(替代的更新信息位于“程序包详细信息”选项卡中)。

Microsoft Exchange 特权提升漏洞 - CVE-2017-0110

当 Microsoft Exchange Outlook Web Access (OWA) 未能正确处理 Web 请求时,存在特权提升漏洞。为了利用此漏洞,成功利用此漏洞的攻击者可能会进行脚本/内容注入攻击,并试图欺骗用户泄漏敏感信息。

攻击者可能通过向用户发送经特殊设计的电子邮件(其中包含恶意链接)来利用该漏洞。或者,攻击者可能使用聊天客户端以社交方式诱使用户单击恶意链接。

该安全更新通过更正 Microsoft Exchange 验证 Web 请求的方式来修复此漏洞。

注意:用户必须单击攻击者恶意设计的链接,此漏洞才会被利用。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft Exchange 特权提升漏洞

CVE-2017-0110

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

如需了解安全更新部署信息,请参阅“执行摘要”中此处引用的 Microsoft 知识库文章。

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定用途的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

  • V1.0(2017 年 3 月 14 日):公告已发布。
页面生成时间:2017-03-07 11:20-08:00。
显示: