Microsoft 安全性布告欄 MS16-108 - 重大
Microsoft Exchange Server 的安全性更新 (3185883)
發佈時間: 2016 年 9 月 13 日
版本: 1.0
執行摘要
此安全性更新可解決 Microsoft Exchange Server 中的弱點。 如果攻擊者傳送具有特殊設計附件的電子郵件給易受攻擊的 Exchange Server,最嚴重弱點可能會允許在 Exchange Server 內建的一些 Oracle 外部連結庫中執行遠端程式代碼。
此安全性更新會針對所有支援的 Microsoft Exchange Server 2007、Microsoft Exchange Server 2010、Microsoft Exchange Server 2013 和 Microsoft Exchange Server 2016 版本評為「重大」。 如需詳細資訊,請參閱 受影響的軟體和弱點嚴重性評等 一節。
安全性更新可藉由修正 Microsoft Exchange 的方式來解決弱點:
- 剖析特定非結構化檔案格式。
- 會處理開啟的重新導向要求。
- 會處理 Microsoft Outlook 會議邀請要求。
如需弱點的詳細資訊,請參閱 弱點資訊 一節。
如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章3185883。
受影響的軟體和弱點嚴重性評等
下列軟體版本或版本受到影響。 未列出的版本或版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱 Microsoft 支援服務 生命週期。
針對每個受影響的軟體所指出的嚴重性評等會假設弱點的潛在最大影響。 如需有關此安全性布告欄發行 30 天內有關弱點嚴重性評等和安全性影響之惡意探索性的資訊,請參閱 9 月公告摘要中的惡意探索性索引。
| Microsoft Server Software | Microsoft Exchange 資訊洩漏弱點 - CVE-2016-0138 | Microsoft Exchange Open Redirect 弱點 - CVE-2016-3378 | Microsoft Exchange 特權提升弱點 - CVE-2016-3379 | 更新 已取代* |
|---|---|---|---|---|
| Microsoft Exchange Server 2007 | ||||
| Microsoft Exchange Server 2007 Service Pack 3 (3184711) | 重要資訊 洩漏 | 不適用 | 不適用 | MS16-079 中的 3151086 |
| Microsoft Exchange Server 2010 | ||||
| Microsoft Exchange Server 2010 Service Pack 3 (3184728) | 重要資訊 洩漏 | 不適用 | 不適用 | MS16-079 中的 3151097 |
| Microsoft Exchange Server 2013 | ||||
| Microsoft Exchange Server 2013 Service Pack 1 (3184736) | 重要資訊 洩漏 | 中度 詐騙 | 不適用 | MS16-079 中的 3150501 |
| Microsoft Exchange Server 2013 累積更新 12 (3184736) | 重要資訊 洩漏 | 中度 詐騙 | 不適用 | MS16-079 中的 3150501 |
| Microsoft Exchange Server 2013 累積更新 13 (3184736) | 重要資訊 洩漏 | 中度 詐騙 | 不適用 | 無 |
| Microsoft Exchange Server 2016 | ||||
| Microsoft Exchange Server 2016 累積更新 1 (3184736) | 重要資訊 洩漏 | 中度 詐騙 | 重要 提高許可權 | MS16-079 中的 3150501 |
| Microsoft Exchange Server 2016 累積更新 2 (3184736) | 重要資訊 洩漏 | 中度 詐騙 | 重要 提高許可權 | 無 |
*更新 取代的數據行只會顯示任何已取代更新鏈結中的最新更新。 如需已取代的更新完整清單,請移至 Microsoft Update Catalog,搜尋更新 KB 編號,然後檢視更新詳細數據(更新取代的資訊是在 [套件詳細數據] 索引標籤上提供。
連結庫中外部的 Oracle 弱點
此安全性更新可解決下列弱點,如 Oracle 重大修補程式更新諮詢 - 2016 年 7 月中所述:
遠端程式代碼執行:CVE-2016-3575、CVE-2016-3581、CVE-2016-3582、CVE-2016-3583、 CVE-2016-3595、CVE-2016-3594、CVE-2015-6014、CVE-2016-3593、CVE-2016-3592、CVE-2016-3596、CVE-2016-3591
信息洩漏:CVE-2016-3574
拒絕服務:CVE-2016-3576、CVE-2016-3577、CVE-2016-3578、CVE-2016-3579、CVE-2016-3580、CVE-2016-3590
| 作業系統 | 匯總嚴重性和影響 | 更新 已取代 |
|---|---|---|
| Microsoft Exchange Server 2007 | ||
| Microsoft Exchange Server 2007 Service Pack 3 (3184711) | 重大 遠端程式代碼執行 | MS16-079 中的 3151086 |
| Microsoft Exchange Server 2010 | ||
| Microsoft Exchange Server 2010 Service Pack 3 (3184728) | 重大 遠端程式代碼執行 | MS16-079 中的 3151097 |
| Microsoft Exchange Server 2013 | ||
| Microsoft Exchange Server 2013 Service Pack 1 (3184736) | 重大 遠端程式代碼執行 | MS16-079 中的 3150501 |
| Microsoft Exchange Server 2013 累積更新 12 (3184736) | 重大 遠端程式代碼執行 | MS16-079 中的 3150501 |
| Microsoft Exchange Server 2013 累積更新 13 (3184736) | 重大 遠端程式代碼執行 | 無 |
| Microsoft Exchange Server 2016 | ||
| Microsoft Exchange Server 2016 累積更新 1 (3184736) | 重大 遠端程式代碼執行 | MS16-079 中的 3150501 |
| Microsoft Exchange Server 2016 累積更新 2 (3184736) | 重大 遠端程式代碼執行 | 無 |
更新常見問題
為什麼 Microsoft 會針對第三方程式代碼 Oracle 外部連結庫中的弱點發出安全性更新?
Microsoft 會授權 Oracle 外部連結庫的自定義實作,其專屬於使用第三方程式代碼的產品。 Microsoft 會發出此安全性更新,協助確保 Microsoft Exchange 中使用此第三方程式代碼的所有客戶都受到保護,免於這些弱點。 如需這些弱點的詳細資訊,請參閱 Oracle 重大修補程式更新諮詢 - 2016 年 7 月。
弱點資訊
Microsoft Exchange 資訊洩漏弱點 - CVE-2016-0138
Microsoft Exchange Server 剖析電子郵件訊息的方式存在資訊洩漏弱點。 此弱點可讓攻擊者探索 Microsoft Outlook 應用程式中所包含的機密用戶資訊。
若要惡意探索此弱點,攻擊者可以使用「傳送身分」許可權,將特別製作的訊息傳送給使用者。
安全性更新可藉由修正 Microsoft Exchange 剖析特定非結構化檔格式的方式來解決弱點。
下表包含 Common Vulnerabilities and Exposures 清單中每個弱點的標準項目連結:
| **弱點標題 ** | **CVE 號碼 ** | 公開披露 | 利用 |
|---|---|---|---|
| Microsoft Exchange 資訊洩漏弱點 | CVE-2016-0138 | No | No |
緩和因素
Microsoft 尚未識別此弱點的任何 緩和因素 。
因應措施
Microsoft 尚未識別此弱點的任何 因應措施 。
Microsoft Exchange Open Redirect 弱點 - CVE-2016-3378
Microsoft Exchange 中存在可能導致詐騙的開放式重新導向弱點。 若要惡意探索弱點,攻擊者可能會傳送具有特製 URL 的連結,並說服用戶按兩下連結。 當已驗證的 Exchange 使用者按兩下連結時,已驗證使用者的瀏覽器會話可能會重新導向至設計來模擬合法網站的惡意網站。 藉由這樣做,攻擊者可能會欺騙使用者,並可能取得敏感性資訊,例如使用者的認證。
更新會修正 Exchange 如何處理開啟的重新導向要求來解決弱點。
下表包含 Common Vulnerabilities and Exposures 清單中每個弱點的標準項目連結:
| 弱點標題 | CVE 號碼 | 公開披露 | 利用 |
|---|---|---|---|
| Microsoft Exchange Open Redirect 弱點 | CVE-2016-3378 | No | No |
緩和因素
Microsoft 尚未識別此弱點的任何 緩和因素 。
因應措施
Microsoft 尚未識別此弱點的任何 因應措施 。
Microsoft Exchange 特權提升弱點 - CVE-2016-3379
Microsoft Outlook 處理會議邀請要求的方式存在特權提升弱點。 若要利用弱點,攻擊者可以將具有惡意跨網站腳本 (XSS) 功能的特製 Outlook 會議邀請要求傳送給使用者。
更新會修正 Outlook 如何處理會議邀請要求來解決弱點。
下表包含 Common Vulnerabilities and Exposures 清單中每個弱點的標準項目連結:
| **弱點標題 ** | **CVE 號碼 ** | 公開披露 | 利用 |
|---|---|---|---|
| Microsoft Exchange 特權提升弱點 | CVE-2016-3379 | No | No |
緩和因素
Microsoft 尚未識別此弱點的任何 緩和因素 。
因應措施
Microsoft 尚未識別此弱點的任何 因應措施 。
安全性更新部署
如需安全性更新部署資訊,請參閱執行摘要中參考的 Microsoft 知識庫文章。
通知
Microsoft 可辨識安全性社群中協助我們透過協調弱點洩漏保護客戶的工作。 如需詳細資訊,請參閱通知。
免責聲明
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2016 年 9 月 13 日): 公告發佈。
頁面產生的 2016-09-12 09:56-07:00。