Microsoft 安全性公告 MS16-079 - 重要
Microsoft Exchange Server 的安全性更新 (3160339)
發佈時間: 2016 年 6 月 14 日
版本: 1.0
執行摘要
此安全性更新可解決 Microsoft Exchange Server 中的弱點。 如果攻擊者在 Outlook Web Access (OWA) 郵件中傳送特製的圖像 URL,而未從攻擊者控制的 URL 載入,則最嚴重的弱點可能會允許資訊洩漏。
此安全性更新會針對所有支援的 Microsoft Exchange Server 2007、Microsoft Exchange Server 2010、Microsoft Exchange Server 2013 和 Microsoft Exchange Server 2016 版本評為重要。 如需詳細資訊,請參閱 受影響的軟體和弱點嚴重性評等 一節。
安全性更新可藉由更正 Microsoft Exchange 剖析 HTML 訊息的方式來解決弱點。 如需弱點的詳細資訊,請參閱 弱點資訊 一節。
如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章3160339。
受影響的軟體和弱點嚴重性評等
下列軟體版本或版本受到影響。 未列出的版本或版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱 Microsoft 支援服務 生命週期。
針對每個受影響的軟體所指出的嚴重性評等會假設弱點的潛在最大影響。 如需有關此安全性布告欄發行 30 天內有關弱點嚴重性評等和安全性影響之惡意探索性的資訊,請參閱 6 月公告摘要中的惡意探索性索引。
| Microsoft Server Software | Microsoft Exchange 資訊洩漏弱點 - CVE-2016-0028 | 連結庫中的 Oracle 特權提升弱點:CVE-2015-6013 CVE-2015-6014 CVE-2015-6015 | 更新 已取代* |
|---|---|---|---|
| Microsoft Exchange Server 2007 | |||
| Microsoft Exchange Server 2007 Service Pack 3 (3151086) | 不適用 | 重要 提高許可權 | MS14-075 中的 2996150 |
| Microsoft Exchange Server 2010 | |||
| Microsoft Exchange Server 2010 Service Pack 3 (3151097) | 不適用 | 重要 提高許可權 | MS14-075 中的 2986475 |
| Microsoft Exchange Server 2013 | |||
| Microsoft Exchange Server 2013 Service Pack 1 (3150501) | 重要資訊 洩漏 | 重要 提高許可權 | MS16-010 中的 3124557 |
| Microsoft Exchange Server 2013 累積更新 11 (3150501) | 重要資訊 洩漏 | 重要 提高許可權 | MS16-010 中的 3124557 |
| Microsoft Exchange Server 2013 累積更新 12 (3150501) | 重要資訊 洩漏 | 重要 提高許可權 | 無 |
| Microsoft Exchange Server 2016 | |||
| Microsoft Exchange Server 2016 (3150501) | 重要資訊 洩漏 | 重要 提高許可權 | MS16-010 中的 3124557 |
| Microsoft Exchange Server 2016 累積更新 1 (3150501) | 重要資訊 洩漏 | 重要 提高許可權 | 無 |
*更新 已取代的數據行只會顯示任何已取代更新鏈結中的最新更新。 如需已取代的更新完整清單,請移至 Microsoft Update Catalog,搜尋更新 KB 編號,然後檢視更新詳細數據(更新取代的資訊是在 [套件詳細數據] 索引標籤上提供。
更新常見問題
為什麼 Microsoft 會針對第三方程式代碼 Oracle 外部連結庫中的弱點發出安全性更新? Microsoft 會授權 Oracle 外部連結庫的自定義實作,其專屬於使用第三方程式代碼的產品。 Microsoft 會發出此安全性更新,協助確保 Microsoft Exchange 中使用此第三方程式代碼的所有客戶都受到保護,免於這些弱點。 如需這些弱點的詳細資訊,請參閱 Oracle 重大修補程式更新諮詢 - 2016 年 1 月。
這些更新是否包含功能的任何其他安全性相關變更?
[受影響的軟體和弱點嚴重性評等] 數據表中所列的更新包括深度防禦更新,以協助改善安全性相關功能,以及此公告中所述弱點所列的變更。
弱點資訊
Microsoft Exchange 資訊洩漏弱點 - CVE-2016-0028
Microsoft Exchange 剖析可允許資訊洩漏的 HTML 訊息的方式存在電子郵件篩選略過。 成功惡意探索弱點的攻擊者,如果使用者使用 Outlook Web Access (OWA) 檢視電子郵件訊息,就可以在在線識別、指紋和追蹤使用者。 攻擊者也可以將此弱點與另一個弱點結合在一起,例如跨網站偽造要求(CSRF),以放大攻擊。
若要惡意探索弱點,攻擊者可以在 OWA 訊息中包含特製的影像 URL,這些訊息可能會從攻擊者控制的 URL 載入,而不需警告或篩選。 此回呼向量提供 Web 指標和其他追蹤系統類型中使用的資訊洩漏策略。 更新會更正 Exchange 剖析 HTML 訊息的方式。
下表包含 Common Vulnerabilities and Exposures 清單中每個弱點的標準項目連結:
| 弱點標題 | CVE 號碼 | 公開披露 | 利用 |
|---|---|---|---|
| Microsoft Exchange 資訊洩漏弱點 | CVE-2016-0028 | No | No |
緩和因素
Microsoft 尚未識別此弱點的任何 緩和因素 。
因應措施
Microsoft 尚未識別此弱點的任何 因應措施 。
連結庫中外部的 Oracle 許可權提升弱點
此安全性更新可解決下列弱點,如 Oracle Critical Patch Update Advisory - 2016 年 1 月中所述:
- CVE-2015-6013:8.5.2 WK4 堆棧緩衝區溢位中的 Oracle 外部
- CVE-2015-6014:8.5.2 DOC 堆棧緩衝區溢位中的 Oracle 外部
- CVE-2015-6015:Oracle OIT 8.5.2 Paradox DB 堆棧緩衝區溢位
安全性更新部署
如需安全性更新部署資訊,請參閱執行摘要中參考的 Microsoft 知識庫文章。
通知
Microsoft 可辨識安全性社群中協助我們透過協調弱點洩漏保護客戶的工作。 如需詳細資訊,請參閱通知。
免責聲明
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2016 年 6 月 14 日): 公告發佈。
頁面產生的 2016-06-08 10:44-07:00。