微软安全公告 MS16-039 - 严重
微软图形组件安全更新 (3148522)
发布日期: 2016年4月12日 | 更新日期: 2018年4月10日
版本: 5.0
执行摘要
此安全更新解决了Microsoft Windows、Microsoft .NET Framework、Microsoft Office、Skype for Business和Microsoft Lync中的漏洞。其中最严重的漏洞可能允许在用户打开特制文档或访问包含特制嵌入字体的网页时远程执行代码。
此安全更新评级为严重级别适用于:
- 所有受支持的Microsoft Windows版本
- 所有受支持的Microsoft Windows版本上受影响的Microsoft .NET Framework版本
- 受影响的Skype for Business 2016、Microsoft Lync 2013和Microsoft Lync 2010版本
此安全更新评级为重要级别适用于所有受影响的Microsoft Office 2007和Microsoft Office 2010版本。
安全更新通过更正Windows字体库处理嵌入字体的方式来解决漏洞。
受影响的软件和漏洞严重性评级
以下软件版本或版本受到影响。未列出的版本要么已超过其支持生命周期,要么不受影响。
Microsoft Windows
| 操作系统 | Win32k权限提升漏洞 CVE-2016-0143 | 图形内存损坏漏洞 CVE-2016-0145 | Win32k权限提升漏洞 CVE-2016-0165 | Win32k权限提升漏洞 CVE-2016-0167 | 替换的更新* |
|---|---|---|---|---|---|
| Windows Vista Service Pack 2 | 重要 - 权限提升 | 严重 - 远程代码执行 | 重要 - 权限提升 | 重要 - 权限提升 | MS16-034中的3139852 |
| Windows 7 Service Pack 1 | 重要 - 权限提升 | 严重 - 远程代码执行 | 重要 - 权限提升 | 重要 - 权限提升 | MS16-034中的3139852 |
| Windows 8.1 | 重要 - 权限提升 | 严重 - 远程代码执行 | 重要 - 权限提升 | 重要 - 权限提升 | MS16-034中的3139852 |
| Windows 10 | 重要 - 权限提升 | 严重 - 远程代码执行 | 重要 - 权限提升 | 重要 - 权限提升 | 3140745 |
Microsoft Office
| 操作系统 | 图形内存损坏漏洞 CVE-2016-0145 | 替换的更新* |
|---|---|---|
| Microsoft Office 2007 Service Pack 3 | 重要 - 远程代码执行 | MS15-128中的3085616 |
| Microsoft Office 2010 Service Pack 2 | 重要 - 远程代码执行 | MS15-128中的3085612 |
Microsoft .NET Framework
| 操作系统 | 组件 | 图形内存损坏漏洞 CVE-2016-0145 | 替换的更新 |
|---|---|---|---|
| Windows Vista Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 | 严重 - 远程代码执行 | MS16-035中的3135987 |
| Windows 7 Service Pack 1 | Microsoft .NET Framework 3.5.1 | 严重 - 远程代码执行 | MS16-035中的3135988 |
Microsoft通信平台和软件
| 操作系统 | 图形内存损坏漏洞 CVE-2016-0145 | 替换的更新* |
|---|---|---|
| Skype for Business 2016 | 严重 - 远程代码执行 | MS15-128中的3114372 |
| Microsoft Lync 2013 | 严重 - 远程代码执行 | MS15-128中的3114351 |
| Microsoft Lync 2010 | 严重 - 远程代码执行 | MS15-128中的3115871 |
更新常见问题解答
此更新是否包含任何与安全相关的额外功能更改?
除了本公告中描述的漏洞更改外,此更新还包括深度防御更新,以帮助改进安全相关功能。
为什么我没有收到Office 2010的更新?
该更新不适用于Windows Vista及更高版本上的Office 2010,因为不存在易受攻击的代码。
安装Microsoft Lync 2013更新是否有任何先决条件?
是的。运行受影响的Microsoft Lync 2013版本的客户必须首先安装2015年4月发布的Office 2013更新2965218,然后安装2015年5月发布的安全更新3039779。
漏洞信息
多个Win32k权限提升漏洞
当Windows内核模式驱动程序无法正确处理内存中的对象时,存在权限提升漏洞。成功利用这些漏洞的攻击者可以在内核模式下运行任意代码。
要利用这些漏洞,攻击者必须首先登录到系统。然后,攻击者可以运行特制应用程序来利用漏洞并控制受影响的系统。
受影响的漏洞:
- CVE-2016-0143
- CVE-2016-0165(已公开利用)
- CVE-2016-0167(已公开利用)
图形内存损坏漏洞 - CVE-2016-0145
当Windows字体库 improperly 处理特制嵌入字体时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
攻击者可以通过多种方式利用此漏洞,例如诱使用户打开特制文档,或诱使用户访问包含嵌入字体的不受信任网页。
安全更新部署
有关安全更新部署信息,请参阅执行摘要中引用的Microsoft知识库文章。
修订记录
- V1.0(2016年4月12日):公告发布。
- V2.0(2016年4月19日):重新发布Microsoft Live Meeting 2007 Console的安全更新。
- V3.0(2016年6月14日):重新发布Microsoft Lync 2010的安全更新。
- V4.0(2017年9月12日):将Windows 10版本1703添加到受影响软件表。
- V5.0(2018年4月10日):将Windows 10版本1709添加到受影响软件表。