微软安全公告 MS17-007 - 严重
Microsoft Edge累积安全更新 (4013071)
发布时间: 2017年3月14日 | 更新日期: 2017年8月8日
版本: 2.0
执行摘要
此安全更新解决了Microsoft Edge中的漏洞。其中最严重的漏洞可能允许攻击者在用户使用Microsoft Edge查看特制网页时执行远程代码。成功利用这些漏洞的攻击者可以控制受影响的系统。攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
此安全更新对Windows 10上的Microsoft Edge评级为“严重”,对Windows Server 2016上的Microsoft Edge评级为“重要”。有关详细信息,请参阅“受影响的软件”部分。
该更新通过修改Microsoft Edge处理内存中对象的方式来解决漏洞。
有关这些漏洞的详细信息,请参阅“漏洞信息”部分。有关此更新的详细信息,请参阅Microsoft知识库文章4013071。
受影响的软件和漏洞严重性等级
以下软件版本或发行版受到影响。未列出的版本或发行版要么已超过其支持生命周期,要么不受影响。要确定软件版本或发行版的支持生命周期,请参阅Microsoft支持生命周期。
为每个受影响的软件指示的严重性等级假设漏洞的潜在最大影响。有关在本安全公告发布后30天内,漏洞的可利用性与其严重性等级和安全影响相关的可能性信息,请参阅3月公告摘要中的可利用性指数。
注意: 请参阅安全更新指南,了解使用安全更新信息的新方法。您可以自定义视图并创建受影响的软件电子表格,还可以通过RESTful API下载数据。有关详细信息,请参阅安全更新指南常见问题解答。提醒一下,安全更新指南将取代安全公告。有关更多详细信息,请参阅我们的博客文章进一步履行我们对安全更新的承诺。
Microsoft Edge受影响的软件
| 操作系统 | 组件 | 最大安全影响 | 聚合严重性等级 | 替换的更新 |
|---|---|---|---|---|
| Windows 10 32位系统[1] (4025338) | Microsoft Edge | 远程代码执行 | 严重 | 4022727 |
| Windows 10 基于x64的系统[1] (4025338) | Microsoft Edge | 远程代码执行 | 严重 | 4022727 |
| Windows 10版本1511 32位系统[1] (4025338) | Microsoft Edge | 远程代码执行 | 严重 | 4022714 |
| Windows 10版本1511 基于x64的系统[1] (4025338) | Microsoft Edge | 远程代码执行 | 严重 | 4022714 |
| Windows 10版本1607 32位系统[1] (4025338) | Microsoft Edge | 远程代码执行 | 严重 | 4022715 |
| Windows 10版本1607 基于x64的系统[1] (4025338) | Microsoft Edge | 远程代码执行 | 严重 | 4022715 |
| Windows 10版本1703 32位系统[1] (4025338) | Microsoft Edge | 远程代码执行 | 严重 | 4022725 |
| Windows 10版本1703 基于x64的系统[1] (4025338) | Microsoft Edge | 远程代码执行 | 严重 | 4022725 |
| Windows Server 2016 | ||||
| Windows Server 2016 基于x64的系统[1] (4013429) | Microsoft Edge | 远程代码执行 | 重要 | 3213986 |
[1]Windows 10和Windows Server 2016更新是累积性的。每月安全版本包括影响Windows 10的所有安全漏洞修复程序,以及非安全更新。更新可通过Microsoft更新目录获取。请注意,自2016年12月13日起,累积更新的Windows 10和Windows Server 2016详细信息将记录在发行说明中。请参阅发行说明了解操作系统内部版本号、已知问题和受影响文件列表信息。
*“替换的更新”列仅显示替换链中的最新更新。有关被替换更新的完整列表,请转到Microsoft更新目录,搜索更新KB编号,然后查看更新详细信息(更新替换信息在“PackageDetails”选项卡上提供)。
更新常见问题解答
本公告中讨论的PDF库漏洞也在3月发布的Windows PDF公告(MS17-009)中讨论。为了保护我的特定系统和Microsoft Edge配置免受漏洞影响,是否需要安装多个更新?
不需要。运行Windows 10系统的客户只需安装一个适用于其系统的累积更新即可免受CVE-2017-0023的影响。PDF库漏洞出现在Microsoft Edge公告中,因为在Windows 10系统上,此漏洞的安全修复程序位于累积更新中附带的Microsoft Edge组件中。
严重性等级和漏洞标识符
以下严重性等级假设漏洞的潜在最大影响。有关在本安全公告发布后30天内,漏洞的可利用性与其严重性等级和安全影响相关的可能性信息,请参阅3月公告摘要中的可利用性指数。
在“严重性等级和影响”表中指定的“严重”、“重要”和“中等”值表示严重性等级。有关详细信息,请参阅安全公告严重性评级系统。请参考下表了解用于表示最大影响的缩写:
| 缩写 | 最大影响 |
|---|---|
| RCE | 远程代码执行 |
| EoP | 权限提升 |
| ID | 信息泄露 |
| SFB | 安全功能绕过 |
漏洞严重性等级和影响
| CVE编号 | 漏洞标题 | Microsoft Edge |
|---|---|---|
| CVE-2017-0009 | Microsoft浏览器信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2017-0010 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0011 | Microsoft Edge信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2017-0012 | Microsoft浏览器欺骗漏洞 | Windows客户端:重要/欺骗 Windows服务器:低/欺骗 |
| CVE-2017-0015 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE(仅Windows 10和Windows 10版本1511受影响) |
| CVE-2017-0017 | Microsoft Edge信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2017-0023 | Microsoft PDF内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0032 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0033 | Microsoft浏览器欺骗漏洞 | Windows客户端:重要/欺骗 Windows服务器:低/欺骗 |
| CVE-2017-0034 | Microsoft Edge内存损坏漏洞 | Windows客户端:严重/RCE(仅Windows 10版本1607受影响) Windows服务器:中等/RCE |
| CVE-2017-0035 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0037 | Microsoft浏览器内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0065 | Microsoft浏览器信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2017-0066 | Microsoft Edge安全功能绕过漏洞 | Windows客户端:重要/SFB Windows服务器:低/SFB |
| CVE-2017-0067 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0068 | Microsoft Edge信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2017-0069 | Microsoft Edge欺骗漏洞 | Windows客户端:重要/欺骗 Windows服务器:低/欺骗 |
| CVE-2017-0070 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0071 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0094 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0131 | 脚本引擎内存损坏漏洞 | Windows客户端:重要/RCE Windows服务器:低/RCE |
| CVE-2017-0132 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0133 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE(仅Windows 10版本1511和1607受影响) Windows服务器:中等/RCE |
| CVE-2017-0134 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0135 | Microsoft Edge安全功能绕过 | Windows客户端:重要/SFB Windows服务器:低/SFB |
| CVE-2017-0136 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE(仅Windows 10版本1607受影响) |
| CVE-2017-0137 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0138 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0140 | Microsoft Edge安全功能绕过 | Windows客户端:重要/SFB(仅Windows 10版本1607受影响) Windows服务器:低/SFB |
| CVE-2017-0141 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0150 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE(仅Windows 10版本1607受影响) Windows服务器:中等/RCE |
| CVE-2017-0151 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE(仅Windows 10版本1607受影响) Windows服务器:中等/RCE |
漏洞信息
多个Microsoft脚本引擎内存损坏漏洞
当受影响的Microsoft脚本引擎在Microsoft浏览器中处理内存中的对象时,存在多个远程代码执行漏洞。这些漏洞可能以允许攻击者在当前用户上下文中执行任意代码的方式损坏内存。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,成功利用这些漏洞的攻击者可以控制受影响的系统。攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
在基于Web的攻击场景中,攻击者可以托管一个特制网站,该网站旨在通过Microsoft浏览器利用这些漏洞,然后诱使用户查看该网站。攻击者还可以在承载Edge渲染引擎的应用程序或Microsoft Office文档中嵌入标记为“安全初始化”的ActiveX控件。攻击者还可以利用被入侵的网站以及接受或托管用户提供的内容或广告的网站。这些网站可能包含可能利用漏洞的特制内容。
安全更新通过修改受影响的Microsoft脚本引擎处理内存中对象的方式来解决这些漏洞。
下表包含每个漏洞在常见漏洞和暴露列表中的标准条目链接:
| 漏洞标题 | CVE编号 | 公开披露 | 已利用 |
|---|---|---|---|
| 脚本引擎内存损坏漏洞 | CVE-2017-0010 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0015 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0032 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0035 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0067 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0070 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0071 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0094 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0131 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0132 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0133 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0134 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0136 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0137 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0138 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0141 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0150 | 否 | 否 |
| 脚本引擎内存损坏漏洞 | CVE-2017-0151 | 否 | 否 |
缓解因素
Microsoft尚未确定这些漏洞的任何缓解因素。
变通办法
Microsoft尚未确定这些漏洞的任何变通办法。
多个Microsoft Edge信息泄露漏洞
当受影响的组件处理内存中的对象时,存在多个信息泄露漏洞。成功利用这些漏洞的攻击者可以获取信息以进一步破坏目标系统。
在基于Web的攻击场景中,攻击者可以托管一个用于尝试利用漏洞的网站。此外,被入侵的网站和接受或托管用户提供的内容的网站可能包含可用于利用这些漏洞的特制内容。但是,在所有情况下,攻击者都无法强迫用户查看攻击者控制的内容。相反,攻击者必须说服用户采取行动。例如,攻击者可能诱骗用户点击将他们带到攻击者站点的链接。
安全更新通过更正受影响的组件处理内存中对象的方式来解决这些漏洞。
下表包含每个漏洞在常见漏洞和暴露列表中的标准条目链接:
| 漏洞标题 | CVE编号 | 公开披露 | 已利用 |
|---|---|---|---|
| Microsoft浏览器信息泄露漏洞 | CVE-2017-0009 | 否 | 否 |
| Microsoft Edge信息泄露漏洞 | CVE-2017-0011 | 否 | 否 |
| Microsoft Edge信息泄露漏洞 | CVE-2017-0017 | 否 | 否 |
| Microsoft浏览器信息泄露漏洞 | CVE-2017-0065 | 是 | 否 |
| Microsoft Edge信息泄露漏洞 | CVE-2017-0068 | 否 | 否 |
缓解因素
Microsoft尚未确定这些漏洞的任何缓解因素。
变通办法
Microsoft尚未确定这些漏洞的任何变通办法。
多个Microsoft Edge欺骗漏洞
当Microsoft浏览器未正确解析HTTP响应时,存在多个欺骗漏洞。成功利用这些漏洞的攻击者可以通过将用户重定向到特制网站来欺骗用户。特制网站可能欺骗内容或用作与其他Web服务漏洞进行攻击链的支点。
要利用这些漏洞,用户必须点击特制URL。在电子邮件攻击场景中,攻击者可以向用户发送包含特制URL的电子邮件,试图说服用户点击它。
在基于Web的攻击场景中,攻击者可以托管一个特制网站,该网站旨在对用户显示为合法网站。但是,攻击者无法强迫用户访问特制网站。攻击者必须说服用户访问特制网站,通常是通过电子邮件或即时消息中的诱骗手段,然后说服用户与网站上的内容进行交互。
该更新通过更正Microsoft浏览器解析HTTP响应的方式来解决这些漏洞。
下表包含每个漏洞在常见漏洞和暴露列表中的标准条目链接:
| 漏洞标题 | CVE编号 | 公开披露 | 已利用 |
|---|---|---|---|
| Microsoft浏览器欺骗漏洞 | CVE-2017-0012 | 是 | 否 |
| Microsoft浏览器欺骗漏洞 | CVE-2017-0033 | 是 | 否 |
| Microsoft Edge欺骗漏洞 | CVE-2017-0069 | 是 | 否 |
缓解因素
Microsoft尚未确定这些漏洞的任何缓解因素。
变通办法
Microsoft尚未确定这些漏洞的任何变通办法。
Microsoft浏览器内存损坏漏洞 CVE-2017-0037
当Microsoft Edge不正确地访问内存中的对象时,存在远程代码执行漏洞。该漏洞可能损坏内存,使攻击者能够在当前用户的上下文中执行任意代码。
攻击者可以托管一个特制网站,该网站旨在通过Microsoft Edge利用该漏洞,然后说服用户查看该网站。攻击者还可以利用被入侵的网站和接受或托管用户提供的内容或广告的网站,通过添加可能利用该漏洞的特制内容。但在所有情况下,攻击者都无法强迫用户查看攻击者控制的内容。相反,攻击者必须说服用户采取行动,通常是通过电子邮件或即时消息中的诱骗手段,或通过让他们打开通过电子邮件发送的附件。
为了实现完整的代码执行,攻击者还需要将此漏洞与其他漏洞利用相结合。成功组合多个漏洞创建漏洞利用链的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,攻击者可以控制受影响的系统。攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
该更新通过修改Microsoft Edge处理内存中对象的方式来解决该漏洞。
下表包含该漏洞在常见漏洞和暴露列表中的标准条目链接:
| 漏洞标题 | CVE编号 | 公开披露 | 已利用 |
|---|---|---|---|
| Microsoft浏览器内存损坏漏洞 | CVE-2017-0037 | 是 | 否 |
缓解因素
Microsoft尚未确定此漏洞的任何缓解因素。
变通办法
Microsoft尚未确定此漏洞的任何变通办法。
Microsoft PDF内存损坏漏洞 CVE-2017-0023
当Microsoft Windows PDF库不正确地处理内存中的对象时,存在远程代码执行漏洞。该漏洞可能以允许攻击者在当前用户上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,攻击者可以控制受影响的系统。攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
要在将Microsoft Edge设置为默认浏览器的Windows 10系统上利用该漏洞,攻击者可以托管一个包含恶意PDF内容的特制网站,然后说服用户查看该网站。攻击者还可以利用被入侵的网站或接受或托管用户提供的内容或广告的网站,通过向此类站点添加特制PDF内容。只有将Microsoft Edge设置为默认浏览器的Windows 10系统才能通过简单地查看网站而被入侵。所有其他受影响操作系统的浏览器不会自动呈现PDF内容,因此攻击者无法强迫用户查看攻击者控制的内容。相反,攻击者必须说服用户打开特制PDF文档,通常是通过电子邮件或即时消息中的诱骗手段,或通过电子邮件附件。
该更新通过修改受影响的系统处理内存中对象的方式来解决该漏洞。
下表包含每个漏洞在常见漏洞和暴露列表中的标准条目链接:
| 漏洞标题 | CVE编号 | 公开披露 | 已利用 |
|---|---|---|---|
| Microsoft PDF内存损坏漏洞 | CVE-2017-0023 | 否 | 否 |
缓解因素
Microsoft尚未确定此漏洞的任何缓解因素。
变通办法
Microsoft尚未确定此漏洞的任何变通办法。
多个Microsoft Edge安全功能绕过漏洞
当Microsoft Edge未能正确应用于其他浏览器窗口中存在的HTML元素的同源策略时,存在多个安全功能绕过漏洞。
攻击者可能诱骗用户加载包含恶意内容的页面。要利用这些漏洞,攻击者需要诱骗用户加载页面或访问网站。该页面还可能被注入到受感染的网站或广告网络中。
该更新通过更正脚本尝试操作其他浏览器窗口中HTML元素的同源策略检查来解决这些漏洞。
下表包含该漏洞在常见漏洞和暴露列表中的标准条目链接:
| 漏洞标题 | CVE编号 | 公开披露 | 已利用 |
|---|---|---|---|
| Microsoft Edge安全功能绕过漏洞 | CVE-2017-0066 | 否 | 否 |
| Microsoft Edge安全功能绕过漏洞 | CVE-2017-0135 | 否 | 否 |
| Microsoft Edge安全功能绕过漏洞 | CVE-2017-0140 | 否 | 否 |
缓解因素
Microsoft尚未确定这些漏洞的任何缓解因素。
变通办法
Microsoft尚未确定这些漏洞的任何变通办法。
Microsoft Edge内存损坏漏洞 - CVE-2017-0034
当Microsoft Edge不正确地访问内存中的对象时,存在远程代码执行漏洞。该漏洞可能以允许攻击者在当前用户上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,攻击者可以控制受影响的系统。攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
攻击者可以托管一个特制网站,该网站旨在通过Microsoft Edge利用该漏洞,然后说服用户查看该网站。攻击者还可以利用被入侵的网站和接受或托管用户提供的内容或广告的网站,通过添加可能利用该漏洞的特制内容。但在所有情况下,攻击者都无法强迫用户查看攻击者控制的内容。相反,攻击者必须说服用户采取行动,通常是通过电子邮件或即时消息中的诱骗手段,或通过让他们打开电子邮件附件。
该更新通过修改Microsoft Edge处理内存中对象的方式来解决该漏洞。
下表包含该漏洞在常见漏洞和暴露列表中的标准条目链接:
| 漏洞标题 | CVE编号 | 公开披露 | 已利用 |
|---|---|---|---|
| Microsoft Edge内存损坏漏洞 | CVE-2017-0034 | 否 | 否 |
缓解因素
Microsoft尚未确定该漏洞的任何缓解因素。
变通办法
Microsoft尚未确定该漏洞的任何变通办法。
安全更新部署
有关安全更新部署的信息,请参阅执行摘要中引用的Microsoft知识库文章。
致谢
Microsoft感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所做的努力。有关详细信息,请参阅致谢。
免责声明
Microsoft知识库中提供的信息“按原样”提供,没有任何形式的保证。Microsoft否认所有明示或暗示的保证,包括对适销性和特定用途适用性的保证。在任何情况下,Microsoft Corporation或其供应商都不对任何损害负责,包括直接的、间接的、偶然的、后果性的、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。有些州不允许排除或限制对后果性或附带损害的责任,因此上述限制可能不适用。
修订版本
- V1.0(2017年3月14日):公告发布。
- V2.0(2017年8月8日):为了全面解决CVE-2017-0071,Microsoft发布了所有Windows 10版本的7月安全更新。请注意,Windows 10 32位系统、Windows 10基于x64的系统、Windows 10版本1703 32位系统和Windows 10版本1703基于x64的系统已添加到受影响产品表中,因为它们也受此漏洞影响。Microsoft建议尚未安装7月2017安全更新的客户安装这些更新以完全免受此漏洞的影响。
页面生成时间:2017年8月2日 09:24-07:00。