Microsoft 安全公告 MS17-022 - 重要提示

项目
2024/03/14

Microsoft XML Core Services (MSXML)安全更新（4010321）

发布时间： 2017 年 3 月 14 日

版本： 1.0

执行摘要

此安全更新可解决 Microsoft Windows 中的漏洞。如果用户访问恶意网站，该漏洞可能会允许信息泄露。但是，在所有情况下，攻击者都无法强制用户单击特制的链接。攻击者必须说服用户单击链接，通常是通过电子邮件或即时信使消息中的诱因。

此安全更新在 Microsoft Windows 的所有受支持版本中都对 Microsoft XML Core Services (MSXML) 3.0 的“重要”评级。有关详细信息，请参阅 “受影响的软件和漏洞严重性分级 ”部分。

更新通过更改 MSXML 如何处理内存中的对象来解决漏洞。有关漏洞的详细信息，请参阅 “漏洞信息 ”部分。

有关此更新的详细信息，请参阅 Microsoft 知识库文章4010321。

受影响的软件和漏洞严重性分级

以下软件版本或版本受到影响。未列出的版本或版本要么超过其支持生命周期，要么不受影响。若要确定软件版本或版本的支持生命周期，请参阅Microsoft 支持部门生命周期。

每个受影响的软件所指示的严重性分级假定该漏洞的潜在最大影响。有关此安全公告发布 30 天内漏洞的可利用性及其严重性评级和安全影响的信息，请参阅 3 月公告摘要中的“可利用性索引”。

请注意 ，有关使用安全更新信息的新方法，请参阅安全更新指南。你可以自定义视图并创建受影响的软件电子表格，以及通过 Restful API 下载数据。有关详细信息，请参阅安全汇报指南常见问题解答。提醒一下，安全汇报指南将取代安全公告。有关更多详细信息，请参阅我们的博客文章，进一步推进我们对安全更新的承诺。

操作系统	组件	Microsoft XML Core Services (MSXML)信息泄露漏洞 - CVE-2017-0022	已替换汇报
Windows Vista
Windows Vista Service Pack 2	Microsoft XML Core Services (MSXML) 3.0 （3216916）	重要信息披露	MS16-040 中的 3146963
Windows Vista x64 版本 Service Pack 2	Microsoft XML Core Services (MSXML) 3.0 （3216916）	重要信息披露	MS16-040 中的 3146963
Windows Server 2008
Windows Server 2008 for 32 位系统 Service Pack 2	Microsoft XML Core Services (MSXML) 3.0 （3216916）	重要信息披露	MS16-040 中的 3146963
基于 x64 的系统 Service Pack 2 的 Windows Server 2008	Microsoft XML Core Services (MSXML) 3.0 （3216916）	重要信息披露	MS16-040 中的 3146963
基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008	Microsoft XML Core Services (MSXML) 3.0 （3216916）	重要信息披露	MS16-040 中的 3146963
Windows 7
仅限^{32 位系统的 Windows 7 Service Pack 1 安全[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012212）	重要信息披露	无
Windows 7 for 32 位系统 Service Pack 1 每月汇总^[1]	Microsoft XML Core Services (MSXML) 3.0 （4012215）	重要信息披露	3212646
基于 x64 的系统 Service Pack 1 仅限^{安全的 Windows 7[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012212）	重要信息披露	无
基于 x64 的系统 Service Pack 1 每月汇总^{的 Windows 7[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012215）	重要信息披露	3212646
Windows Server 2008 R2
基于 x64 的系统 Service Pack 1 仅限^{安全的 Windows Server 2008 R2[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012212）	重要信息披露	无
基于 x64 的系统 Service Pack 1 每月汇总^{的 Windows Server 2008 R2[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012215）	重要信息披露	3212646
仅限^{Windows Server 2008 R2 for Itanium 的系统 Service Pack 1 安全性[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012212）	重要信息披露	无
适用于基于 Itanium 的系统 Service Pack 1 每月汇总^{的 Windows Server 2008 R2[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012215）	重要信息披露	3212646
Windows 8.1
仅限^{32 位系统的 Windows 8.1[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012213）	重要信息披露	无
适用于 32 位系统的 Windows 8.1 每月汇总^[1]	Microsoft XML Core Services (MSXML) 3.0 （4012216）	重要信息披露	3205401
基于 x64 的系统安全的^{Windows 8.1[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012213）	重要信息披露	无
基于 x64 的系统每月汇总^{的 Windows 8.1[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012216）	重要信息披露	3205401
Windows Server 2012 和 Windows Server 2012 R2
仅限^{Windows Server 2012 安全[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012214）	重要信息披露	无
Windows Server 2012 每月汇总^[1]	Microsoft XML Core Services (MSXML) 3.0 （4012217）	重要信息披露	3205409
仅限^{Windows Server 2012 R2 安全性[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012213）	重要信息披露	无
Windows Server 2012 R2 每月汇总^[1]	Microsoft XML Core Services (MSXML) 3.0 （4012216）	重要信息披露	3205401
Windows RT 8.1
Windows RT 8.1^[2]每月汇总	Microsoft XML Core Services (MSXML) 3.0 （4012216）	重要信息披露	3205401
Windows 10
Windows 10 for 32 位系统^[3]（4012606）	Microsoft XML Core Services (MSXML) 3.0	重要信息披露	3210720
基于 x64 的系统^{Windows 10[3]}（4012606）	Microsoft XML Core Services (MSXML) 3.0	重要信息披露	3210720
适用于 32 位系统的^{Windows 10 版本 1511[3]}（4013198）	Microsoft XML Core Services (MSXML) 3.0	重要信息披露	3210721
基于 x64 的系统^{Windows 10 版本 1511[3]}（4013198）	Microsoft XML Core Services (MSXML) 3.0	重要信息披露	3210721
适用于 32 位系统的^{Windows 10 版本 1607[3]}（4013429）	Microsoft XML Core Services (MSXML) 3.0	重要信息披露	3213986
基于 x64 的系统^{Windows 10 版本 1607[3]}（4013429）	Microsoft XML Core Services (MSXML) 3.0	重要信息披露	3213986
Windows Server 2016
基于 x64 的系统^{Windows Server 2016[3]}（4013429）	Microsoft XML Core Services (MSXML) 3.0	重要信息披露	3213986
服务器核心安装选项
Windows Server 2008 for 32 位系统 Service Pack 2 （服务器核心安装）	Microsoft XML Core Services (MSXML) 3.0 （3216916）	重要信息披露	MS16-040 中的 3146963
基于 x64 的系统 Service Pack 2 的 Windows Server 2008 （服务器核心安装）	Microsoft XML Core Services (MSXML) 3.0 （3216916）	重要信息披露	MS16-040 中的 3146963
基于 x64 的系统 Service Pack 1 （服务器核心安装）仅限^{安全的 Windows Server 2008 R2[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012212）	重要信息披露	无
Windows Server 2008 R2 for x64 基于 x64 的系统 Service Pack 1 （服务器核心安装）每月汇总^[1]	Microsoft XML Core Services (MSXML) 3.0 （4012215）	重要信息披露	3212646
Windows Server 2012 （服务器核心安装）仅限^安全性[1]	Microsoft XML Core Services (MSXML) 3.0 （4012214）	重要信息披露	无
Windows Server 2012 （服务器核心安装）每月汇总^[1]	Microsoft XML Core Services (MSXML) 3.0 （4012217）	重要信息披露	3205409
仅限^{Windows Server 2012 R2 （服务器核心安装）安全性[1]}	Microsoft XML Core Services (MSXML) 3.0 （4012213）	重要信息披露	无
Windows Server 2012 R2 （服务器核心安装）每月汇总^[1]	Microsoft XML Core Services (MSXML) 3.0 （4012216）	重要信息披露	3205401
Windows Server 2016 for x64 based Systems^[3]（Server Core installation）（4013429）	Microsoft XML Core Services (MSXML) 3.0	重要信息披露	3213986

^[1]从 2016 年 10 月版本开始，Microsoft 已更改 Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012 和 Windows Server 2012 R2 的更新服务模型。有关详细信息，请参阅此 Microsoft TechNet 文章。

^[2]此更新只能通过Windows 更新进行。

^[3]Windows 10 和 Windows Server 2016 更新是累积更新。每月安全版本包括影响 Windows 10 的漏洞的所有安全修补程序，以及非安全更新。可通过 Microsoft 更新目录获取这些更新。请注意，自 2016 年 12 月 13 日起，累积汇报的 Windows 10 和 Windows Server 2016 详细信息将记录在发行说明中。请参阅 OS 内部版本号、已知问题和受影响的文件列表信息的发行说明。

*汇报替换列仅显示被取代更新链中的最新更新。有关替换的更新的完整列表，请转到 Microsoft 更新目录，搜索更新知识库(KB)编号，然后查看更新详细信息（更新替换的信息是在“程序包详细信息”选项卡上提供的）。

更新常见问题解答

系统上安装了哪个版本的Microsoft XML Core Services (MSXML)？

某些版本的 Microsoft XML Core Services (MSXML) 包含在 Microsoft Windows 中;其他版本则随 Microsoft 或第三方提供商的非操作系统软件一起安装。其中一些也可用作单独的下载。下表显示了 Microsoft Windows 附带了哪些版本的Microsoft XML Core Services (MSXML)，这些版本随安装其他 Microsoft 或第三方软件一起安装。

操作系统	MSXML 3.0
Windows Vista	随操作系统一起提供
Windows Server 2008	随操作系统一起提供
Windows 7	随操作系统一起提供
Windows Server 2008 R2	随操作系统一起提供
Windows 8.1	随操作系统一起提供
Windows Server 2012 和 Windows Server 2012 R2	随操作系统一起提供
Window10 （所有版本）	随操作系统一起提供
Windows Server 2016	随操作系统一起提供

漏洞信息

Microsoft XML Core Services (MSXML)信息泄露漏洞 - CVE-2017-0022

当Microsoft XML Core Services (MSXML)（MSXML）在内存中处理对象时，存在信息漏洞。成功利用漏洞可能会让攻击者测试磁盘上是否存在文件。

为了利用漏洞，攻击者可以托管一个专门设计的网站，该网站旨在通过 Internet Explorer 调用 MSXML。但是，攻击者无法强制用户访问此类网站。相反，攻击者通常需要说服用户单击电子邮件中的链接或即时信使请求中的链接，然后将用户带到网站。

更新通过更改 MSXML 处理内存中的对象的方式来解决漏洞。

下表包含指向常见漏洞和公开列表中的每个漏洞的标准条目的链接：

漏洞标题	CVE 编号	公开披露	利用
Microsoft XML Core Services (MSXML)信息泄露漏洞	CVE-2017-0022	否	是

缓解因素

Microsoft 尚未识别此漏洞的任何缓解因素。

解决方法

Microsoft 尚未识别此漏洞的任何解决方法。

安全更新部署

有关安全更新部署信息，请参阅“执行摘要”中引用的 Microsoft 知识库文章。

致谢

Microsoft 认识到安全社区中那些帮助我们通过协调漏洞披露来保护客户的努力。有关详细信息，请参阅确认。

免责声明

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修订

V1.0（2017 年 3 月 14 日）：公告已发布。

页面生成的 2017-03-14 09：21-07：00。

通过