Microsoft 安全性布告欄 MS16-041 - 重要
發佈時間: 2016 年 4 月 12 日
版本: 1.0
此安全性更新可解決 Microsoft .NET Framework 中的弱點。 如果具有本機系統存取權的攻擊者執行惡意應用程式,此弱點可能會允許遠端程式代碼執行。
此安全性更新在受影響的 Microsoft Windows 版本上被評為 Microsoft .NET Framework 4.6 和 Microsoft .NET Framework 4.6.1 的重要專案。 如需詳細資訊,請參閱 受影響的軟體 一節。
安全性更新會修正 .NET 驗證連結庫載入輸入的方式,藉此解決弱點。 如需弱點的詳細資訊,請參閱 弱點資訊 一節。
如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章3148789。
下列軟體版本或版本受到影響。 未列出的版本或版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱 Microsoft 支援服務 生命週期。
針對每個受影響的軟體所指出的嚴重性評等會假設弱點的潛在最大影響。 如需有關此安全性布告欄發行 30 天內有關弱點嚴重性評等和安全性影響之惡意探索性的資訊,請參閱 4 月公告摘要中的惡意探索性索引。
| 作業系統 | 元件 | .NET Framework 遠端程式代碼執行弱點 - CVE-2016-0148 | 更新 已取代 |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.6[1](3143693) | 重要 遠端程式代碼執行 | MS15-092 中的 3083186 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.6[1](3143693) | 重要 遠端程式代碼執行 | MS15-092 中的 3083186 |
| Windows Server 2008 | |||
| Windows Server 2008 for 32 位系統 Service Pack 2 | Microsoft .NET Framework 4.6[1](3143693) | 重要 遠端程式代碼執行 | MS15-092 中的 3083186 |
| 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 | Microsoft .NET Framework 4.6[1](3143693) | 重要 遠端程式代碼執行 | MS15-092 中的 3083186 |
| Windows 7 | |||
| Windows 7 for 32 位系統 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3143693) | 重要 遠端程式代碼執行 | MS15-092 中的 3083186 |
| Windows 7 for x64 型系統 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3143693) | 重要 遠端程式代碼執行 | MS15-092 中的 3083186 |
| Windows Server 2008 R2 | |||
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3143693) | 重要 遠端程式代碼執行 | MS15-092 中的 3083186 |
| Server Core 安裝選項 | |||
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) | Microsoft .NET Framework 4.6/4.6.1[1](3143693) | 重要 遠端程式代碼執行 | MS15-092 中的 3083186 |
[1]如需 .NET Framework 4.x 支援變更的相關信息,請參閱 Internet Explorer 和 .NET Framework 4.x 支援公告。
當 Microsoft .NET Framework 在載入連結庫之前無法正確驗證輸入時,就存在遠端程式代碼執行弱點。 成功利用此弱點的攻擊者可以控制受影響的系統。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。 帳戶設定為具有較少使用者權限的使用者,與使用系統管理使用者權限的使用者相比,所受的影響可能較小。
若要惡意探索弱點,攻擊者必須先存取本機系統,才能執行惡意應用程式。 安全性更新可藉由修正 .NET 驗證連結庫載入輸入的方式來解決弱點。
下表包含 Common Vulnerabilities and Exposures 清單中每個弱點的標準項目連結:
| 弱點標題 | CVE 號碼 | 公開披露 | 利用 |
|---|---|---|---|
| .NET Framework 遠端程式碼執行弱點 | CVE-2016-0148 | 是 | No |
Microsoft 尚未識別此弱點的任何 緩和因素 。
Microsoft 尚未識別此弱點的任何 因應措施 。
如需安全性更新部署資訊,請參閱執行摘要中參考的 Microsoft 知識庫文章。
Microsoft 可辨識安全性社群中協助我們透過協調弱點洩漏保護客戶的工作。 如需詳細資訊,請參閱通知。
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
- V1.0 (2016 年 4 月 12 日):發佈公告。
頁面產生的 2016-04-07 14:46-07:00。