累积性Internet Explorer安全更新(3148531)
发布日期: 2016年4月12日 | 更新日期: 2017年4月11日
版本: 2.0
执行摘要
此安全更新解决了Internet Explorer中的漏洞。最严重的漏洞可能在用户使用Internet Explorer查看特制网页时允许远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,攻击者便可完全控制受影响的系统。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
此安全更新对于受影响的Windows客户端上的Internet Explorer 9(IE 9)和Internet Explorer 11(IE 11)评级为"严重",对于受影响的Windows服务器上的Internet Explorer 9(IE 9)、Internet Explorer 10(IE 10)和Internet Explorer 11(IE 11)评级为"重要"。有关详细信息,请参阅"受影响的软件"部分。
安全更新通过以下方式解决漏洞:
- 修改Internet Explorer处理内存中对象的方式
- 更正Internet Explorer在加载DLL文件之前验证输入的方式
- 帮助限制返回给Internet Explorer的信息
有关漏洞的详细信息,请参阅"漏洞信息"部分。 有关此更新的详细信息,请参阅Microsoft知识库文章3148531。
受影响的软件
以下软件版本或版本受到影响。未列出的版本要么已超过其支持生命周期,要么不受影响。要确定软件版本或版本的支持生命周期,请参阅Microsoft支持生命周期。
操作系统和组件影响
| 操作系统 | 组件 | 最大安全影响 | 聚合严重性等级 | 替换的更新 |
|---|---|---|---|---|
| Internet Explorer 9 | ||||
| Windows Vista Service Pack 2 | Internet Explorer 9 (4014661) | 远程代码执行 | 严重 | MS16-037中的3148198 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 9 (4014661) | 远程代码执行 | 严重 | MS16-037中的3148198 |
| Windows Server 2008(32位系统)Service Pack 2 | Internet Explorer 9 (4014661) | 远程代码执行 | 重要 | MS16-037中的3148198 |
| Windows Server 2008(基于x64的系统)Service Pack 2 | Internet Explorer 9 (4014661) | 远程代码执行 | 重要 | MS16-037中的3148198 |
| Internet Explorer 10 | | | | | | Windows Server 2012(仅安全) | Internet Explorer 10[1] (4014661) | 远程代码执行 | 重要 | MS16-037中的3148198 | | Windows Server 2012(月度汇总) | Internet Explorer 10 (4015551) | 远程代码执行 | 重要 | 无 |
| Internet Explorer 11 | | | | | | Windows 7(32位系统)Service Pack 1(仅安全) | Internet Explorer 11 (4014661) | 远程代码执行 | 严重 | MS16-037中的3148198 | | Windows 7(32位系统)Service Pack 1(月度汇总) | Internet Explorer 11 (4015549) | 远程代码执行 | 严重 | 无 | | Windows 7(基于x64的系统)Service Pack 1(仅安全) | Internet Explorer 11 (4014661) | 远程代码执行 | 严重 | MS16-037中的3148198 | | Windows 7(基于x64的系统)Service Pack 1(月度汇总) | Internet Explorer 11 (4015549) | 远程代码执行 | 严重 | 无 |
[1]有关Internet Explorer支持变更的信息(自2016年1月12日起),请参阅Microsoft支持生命周期。 [2]此更新可通过Windows Update获取。 [3]Windows 10更新是累积性的。每月安全版本包括影响Windows 10的所有安全修复程序,以及非安全更新。这些更新可通过Microsoft更新目录获取。
注意 Windows Server 2016 Technical Preview 4和Windows Server 2016 Technical Preview 5受到影响。建议运行这些操作系统的客户应用可通过Windows Update获取的更新。
更新常见问题解答
此更新是否包含任何与功能相关的额外安全更改? 除了本公告中描述的漏洞所列的更改之外,此更新还包括深度防御更新,以帮助改进安全相关功能。
严重性等级和漏洞标识符
以下严重性等级假定漏洞的潜在最大影响。有关在安全公告发布30天内漏洞被利用的可能性(与其严重性等级和安全影响相关)的信息,请参阅3月公告摘要中的可利用性指数。
在"严重性等级和影响"表中指定的"严重"、“重要"和"中等"值表示严重性等级。有关详细信息,请参阅安全公告严重性等级系统。请参考下表中用于指示最大影响的缩写:
| 缩写 | 最大影响 |
|---|---|
| RCE | 远程代码执行 |
| EoP | 权限提升 |
| ID | 信息泄露 |
| SFB | 安全功能绕过 |
漏洞严重性等级和影响
| CVE编号 | 漏洞标题 | Internet Explorer 9 | Internet Explorer 10 | Internet Explorer 11 | Windows 10上的IE 11 |
|---|---|---|---|---|---|
| CVE-2016-0154 | Microsoft浏览器内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2016-0159 | Internet Explorer内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
不适用 | 不适用 | 不适用 |
| CVE-2016-0160 | DLL加载远程代码执行漏洞 | 不适用 | 不适用 | Windows客户端:重要/RCE Windows服务器:低/RCE |
Windows客户端:重要/RCE Windows服务器:低/RCE |
| CVE-2016-0162 | Internet Explorer信息泄露漏洞 | Windows客户端:中等/ID Windows服务器:低/ID |
Windows客户端:中等/ID Windows服务器:低/ID |
Windows客户端:中等/ID Windows服务器:低/ID |
Windows客户端:中等/ID Windows服务器:低/ID |
| CVE-2016-0164 | Internet Explorer内存损坏漏洞 | 不适用 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
不适用 |
| CVE-2016-0166 | Internet Explorer内存损坏漏洞 | 不适用 | 不适用 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
漏洞信息
多个Internet Explorer内存损坏漏洞
当Internet Explorer不正确地访问内存中的对象时,存在多个远程代码执行漏洞。这些漏洞可能以攻击者可以在当前用户的上下文中执行任意代码的方式破坏内存。
攻击者可以托管一个特制的网站,该网站旨在通过Internet Explorer利用这些漏洞,然后诱使用户查看该网站。攻击者还可以利用被入侵的网站或接受或托管用户生成内容或广告的网站,通过添加可能利用漏洞的特制内容。但在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。相反,攻击者必须说服用户采取行动,通常是通过电子邮件或即时消息中的诱饵,或者通过让他们打开通过电子邮件发送的附件。
成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,攻击者便可完全控制受影响的系统。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。该更新通过修改Internet Explorer处理内存中对象的方式来解决漏洞。
| 漏洞标题 | CVE编号 | 公开披露 | 被利用 |
|---|---|---|---|
| Microsoft浏览器内存损坏漏洞 | CVE-2016-0154 | 否 | 否 |
| Internet Explorer内存损坏漏洞 | CVE-2016-0159 | 否 | 否 |
| Internet Explorer内存损坏漏洞 | CVE-2016-0164 | 否 | 否 |
| Internet Explorer内存损坏漏洞 | CVE-2016-0166 | 否 | 否 |
缓解因素 Microsoft尚未确定这些漏洞的任何缓解因素。
变通办法 Microsoft尚未确定这些漏洞的任何变通办法。
DLL加载远程代码执行漏洞 - CVE-2016-0160
当Internet Explorer在加载动态链接库(DLL)文件之前未正确验证输入时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。在系统上配置为具有较少用户权限的用户比使用管理用户权限操作的用户受到的影响要小。
要利用此漏洞,攻击者必须首先登录到目标系统,然后运行特制的应用程序。更新通过更正Internet Explorer在加载DLL文件之前验证输入的方式来解决漏洞。
| 漏洞标题 | CVE编号 | 公开披露 | 被利用 |
|---|---|---|---|
| DLL加载远程代码执行漏洞 | CVE-2016-0160 | 是 | 否 |
缓解因素 Microsoft尚未确定此漏洞的任何缓解因素。
变通办法 Microsoft尚未确定此漏洞的任何变通办法。
常见问题解答 我在Windows Server 2008、Windows Server 2008 R2、Windows Server 2012或Windows Server 2012 R2上运行Internet Explorer。这是否可以缓解这些漏洞? 是的。默认情况下,Windows Server 2008、Windows Server 2008 R2、Windows Server 2012和Windows Server 2012 R2上的Internet Explorer在称为增强安全配置的限制模式下运行。增强安全配置是Internet Explorer中的一组预配置设置,可以降低用户或管理员在服务器上下载和运行特制Web内容的可能性。对于尚未添加到Internet Explorer"受信任的站点"区域的网站,这是一个缓解因素。
EMET是否有助于缓解试图利用这些漏洞的攻击? 是的。增强缓解体验工具包(EMET)使用户能够管理安全缓解技术,这些技术有助于使攻击者更难利用给定软件中的内存损坏漏洞。在安装EMET并将其配置为与Internet Explorer配合使用的系统上,EMET可以帮助缓解试图利用Internet Explorer中这些漏洞的攻击。
有关EMET的详细信息,请参阅增强缓解体验工具包。
Internet Explorer信息泄露漏洞 - CVE-2016-0162
当Internet Explorer不正确处理JavaScript时,存在信息泄露漏洞。该漏洞可能允许攻击者检测用户计算机上的特定文件。在基于Web的攻击情形中,攻击者可以托管一个用于尝试利用该漏洞的网站。
此外,被入侵的网站以及接受或托管用户生成内容的网站可能包含可能利用该漏洞的特制内容。但是在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。相反,攻击者必须说服用户采取行动。例如,攻击者可能诱骗用户点击链接将他们带到攻击者的站点。
成功利用该漏洞的攻击者可能能够读取未打算披露的数据。请注意,该漏洞不会允许攻击者执行代码或直接提升用户权限,但该漏洞可用于获取信息以试图进一步危害受影响的系统。该更新通过帮助限制返回给Internet Explorer的信息来解决漏洞。
| 漏洞标题 | CVE编号 | 公开披露 | 被利用 |
|---|---|---|---|
| Internet Explorer信息泄露漏洞 | CVE-2016-0162 | 否 | 是 |
缓解因素 Microsoft尚未确定此漏洞的任何缓解因素。
变通办法 Microsoft尚未确定此漏洞的任何变通办法。
安全更新部署
有关安全更新部署的信息,请参阅执行摘要中引用的Microsoft知识库文章。
致谢
Microsoft感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所做的努力。有关详细信息,请参阅致谢。
免责声明
Microsoft知识库中提供的信息"按原样"提供,不作任何担保。Microsoft否认所有明示或暗示的担保,包括对适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation或其供应商都不对任何损害承担责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。有些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。
修订版本
- V1.0(2016年4月12日):公告发布。
- V2.0(2017年4月11日):修订公告,宣布发布新的Internet Explorer累积更新(4014661)以解决CVE-2016-0162。该更新在原始发布基础上添加,以全面解决CVE-2016-0162。Microsoft建议运行受影响软件的客户安装安全更新,以完全防范本公告中描述的漏洞。有关详细信息,请参阅Microsoft知识库文章4014661。
页面生成时间:2017-04-05 12:34-07:00。