累积性安全更新 Internet Explorer (3177356)
发布日期: 2016年8月9日 | 更新日期: 2017年6月13日
版本: 2.0
执行摘要
此安全更新解决了Internet Explorer中的漏洞。最严重的漏洞可能允许攻击者在用户使用Internet Explorer查看特制网页时远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,攻击者便可控制受影响的系统。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
此安全更新对于受影响的Windows客户端上的Internet Explorer 9(IE 9)和Internet Explorer 11(IE 11)评级为“严重”,对于受影响的Windows服务器上的Internet Explorer 9(IE 9)、Internet Explorer 10(IE 10)和Internet Explorer 11(IE 11)评级为“中等”。有关详细信息,请参阅“受影响的软件”部分。
该更新通过修改Internet Explorer和某些函数处理内存中对象的方式来解决漏洞。有关漏洞的详细信息,请参阅“漏洞信息”部分。
有关此更新的详细信息,请参阅Microsoft知识库文章3177356。
受影响的软件
以下软件版本或版本受到影响。未列出的版本要么已超过其支持生命周期,要么不受影响。要确定软件版本或版本的支持生命周期,请参阅Microsoft支持生命周期。
| 操作系统 | 组件 | 最大安全影响 | 总体严重性等级 | 替换的更新* |
|---|---|---|---|---|
| Internet Explorer 9 | ||||
| Windows Vista Service Pack 2 | Internet Explorer 9 (3175443) | 远程代码执行 | 严重 | MS16-084中的3170106 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 9 (3175443) | 远程代码执行 | 严重 | MS16-084中的3170106 |
| Windows Server 2008(用于32位系统)Service Pack 2 | Internet Explorer 9 (4021558) | 远程代码执行 | 中等 | 4018271 |
| Windows Server 2008(用于基于x64的系统)Service Pack 2 | Internet Explorer 9 (4021558) | 远程代码执行 | 中等 | 4018271 |
| Internet Explorer 10 | ||||
| Windows Server 2012 | Internet Explorer 10[1] (4021558) | 远程代码执行 | 中等 | 4018271 |
| Internet Explorer 11 | ||||
| Windows 7(用于32位系统)Service Pack 1 | Internet Explorer 11 (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows 7(用于基于x64的系统)Service Pack 1 | Internet Explorer 11 (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows Server 2008 R2(用于基于x64的系统)Service Pack 1 | Internet Explorer 11[1] (4021558) | 远程代码执行 | 中等 | 4018271 |
| Windows 8.1(用于32位系统) | Internet Explorer 11 (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows 8.1(用于基于x64的系统) | Internet Explorer 11 (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows Server 2012 R2 | Internet Explorer 11 (4021558) | 远程代码执行 | 中等 | 4018271 |
| Windows RT 8.1 | Internet Explorer 11[1][2] (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows 10(用于32位系统)[3] (4022727) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019474 |
| Windows 10(用于基于x64的系统)[3] (4022727) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019474 |
| Windows 10版本1511(用于32位系统)[3] (4022714) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019473 |
| Windows 10版本1511(用于基于x64的系统)[3] (4022714) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019473 |
| Windows 10版本1607(用于32位系统)[3] (4022715) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019472 |
| Windows 10版本1607(用于基于x64的系统)[3] (4022715) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019472 |
[1] 有关从2016年1月12日开始对Internet Explorer支持更改的信息,请参阅Microsoft支持生命周期。
[2] 此更新可通过Windows Update获取。
[3] Windows 10更新是累积性的。每月安全版本包括影响Windows 10的所有安全修复程序,以及非安全更新。这些更新可通过Microsoft更新目录获取。
注意 此公告中讨论的漏洞影响Windows Server 2016 Technical Preview 5。为避免受到这些漏洞的影响,Microsoft建议运行此操作系统的客户应用当前更新,该更新仅通过Windows Update提供。
*“替换的更新”列仅显示被取代更新链中的最新更新。有关被取代更新的完整列表,请转到Microsoft更新目录,搜索更新KB编号,然后查看更新详细信息(被取代更新信息在“程序包详细信息”选项卡上提供)。
更新常见问题解答
此更新是否包含任何与安全性相关的其他功能更改?
是的。除了此公告中描述的漏洞所列的更改之外,此更新还包括纵深防御更新,以帮助改进安全相关功能。
此外,随着此更新的发布,RC4加密将在Internet Explorer 11和Edge浏览器中禁用,以符合行业安全标准。有关详细信息,请参阅Microsoft知识库文章3151631。
严重性等级和漏洞标识符
以下严重性等级假定漏洞的潜在最大影响。有关在此安全公告发布后30天内漏洞被利用的可能性(与其严重性等级和安全影响相关)的信息,请参阅8月公告摘要中的可利用性指数。
在“严重性等级和影响”表中指定时,严重、重要和中等值表示严重性等级。有关详细信息,请参阅安全公告严重性评级系统。请参阅下表中的键,以了解用于指示最大影响的缩写:
| 缩写 | 最大影响 |
|---|---|
| RCE | 远程代码执行 |
| EoP | 权限提升 |
| ID | 信息泄露 |
| SFB | 安全功能绕过 |
漏洞严重性等级和影响
| CVE编号 | 漏洞标题 | Internet Explorer 9 | Internet Explorer 10 | Internet Explorer 11 | Windows 10上的Internet Explorer 11 |
|---|---|---|---|---|---|
| CVE-2016-3288 | Internet Explorer内存损坏漏洞 | 不适用 | 不适用 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2016-3289 | Microsoft浏览器内存损坏漏洞 | 不适用 | 不适用 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2016-3290 | Internet Explorer内存损坏漏洞 | 不适用 | 不适用 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2016-3293 | Microsoft浏览器内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2016-3321 | Internet Explorer信息泄露漏洞 | 不适用 | Windows客户端:中等/ID Windows服务器:低/ID |
Windows客户端:中等/ID Windows服务器:低/ID |
Windows客户端:中等/ID Windows服务器:低/ID |
| CVE-2016-3322 | Microsoft浏览器内存损坏漏洞 | 不适用 | 不适用 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2016-3326 | Microsoft浏览器信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
Windows客户端:重要/ID Windows服务器:低/ID |
Windows客户端:重要/ID Windows服务器:低/ID |
Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2016-3327 | Microsoft浏览器信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
Windows客户端:重要/ID Windows服务器:低/ID |
Windows客户端:重要/ID Windows服务器:低/ID |
Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2016-3329 | Microsoft浏览器信息泄露漏洞 | Windows客户端:中等/ID Windows服务器:低/ID |
Windows客户端:中等/ID Windows服务器:低/ID |
Windows客户端:中等/ID Windows服务器:低/ID |
Windows客户端:中等/ID Windows服务器:低/ID |
漏洞信息
多个Microsoft Internet Explorer内存损坏漏洞
当Internet Explorer不正确地访问内存中的对象时,存在多个远程代码执行漏洞。这些漏洞可能以攻击者可以在当前用户的上下文中执行任意代码的方式破坏内存。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,攻击者便可控制受影响的系统。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
攻击者可以托管一个特制的网站,该网站旨在通过Internet Explorer利用这些漏洞,然后诱使用户查看该网站。攻击者还可以利用被入侵的网站,或者接受或托管用户提供的内容或广告的网站,通过添加可能利用这些漏洞的特制内容。但在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。相反,攻击者必须诱使用户采取行动,例如通过电子邮件或Instant Messenger消息中的诱饵,或者诱使他们打开通过电子邮件发送的附件。该更新通过修改Internet Explorer处理内存中对象的方式来解决漏洞。
下表包含指向“常见漏洞和暴露”列表中每个漏洞的标准条目的链接:
| 漏洞标题 | CVE编号 | 公开披露 | 被利用 |
|---|---|---|---|
| Internet Explorer内存损坏漏洞 | CVE-2016-3288 | 否 | 否 |
| Microsoft浏览器内存损坏漏洞 | CVE-2016-3289 | 否 | 否 |
| Internet Explorer内存损坏漏洞 | CVE-2016-3290 | 否 | 否 |
| Microsoft浏览器内存损坏漏洞 | CVE-2016-3293 | 否 | 否 |
| Microsoft浏览器内存损坏漏洞 | CVE-2016-3322 | 否 | 否 |
缓解因素
Microsoft未识别出这些漏洞的任何缓解因素。
变通办法
Microsoft未识别出这些漏洞的任何变通办法。
常见问题解答
我在Windows Server 2008、Windows Server 2008 R2、Windows Server 2012或Windows Server 2012 R2上运行Internet Explorer。这是否可以缓解这些漏洞?
是的。默认情况下,Windows Server 2008、Windows Server 2008 R2、Windows Server 2012和Windows Server 2012 R2上的Internet Explorer在称为增强安全配置的限制模式下运行。增强安全配置是Internet Explorer中的一组预配置设置,可降低用户或管理员在服务器上下载和运行特制Web内容的可能性。对于您未添加到Internet Explorer“受信任的站点”区域的网站,这是一个缓解因素。
EMET是否有助于缓解试图利用这些漏洞的攻击?
是的。增强缓解体验工具包(EMET)使用户能够管理安全缓解技术,这些技术有助于使攻击者更难在给定软件中利用内存损坏漏洞。在安装并配置了EMET以与Internet Explorer配合使用的系统上,EMET可以帮助缓解试图利用Internet Explorer中这些漏洞的攻击。
有关EMET的更多信息,请参阅增强缓解体验工具包。
多个Internet Explorer信息泄露漏洞
当Internet Explorer不正确地处理页面内容时,存在多个信息泄露漏洞,这可能允许攻击者检测用户系统上特定文件的存在。该更新通过帮助确保在Internet Explorer中正确验证页面内容来解决漏洞。
要利用这些漏洞,在基于Web的攻击情形中,攻击者可以托管一个用于尝试利用这些漏洞的网站。此外,被入侵的网站以及接受或托管用户提供的内容的网站可能包含可能利用这些漏洞的特制内容。但在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。相反,攻击者必须诱使用户采取行动。例如,攻击者可能诱骗用户点击链接使用户转到攻击者的站点。该更新通过更改某些函数处理内存中对象的方式来解决漏洞。
下表包含指向“常见漏洞和暴露”列表中每个漏洞的标准条目的链接:
| 漏洞标题 | CVE编号 | 公开披露 | 被利用 |
|---|---|---|---|
| Internet Explorer信息泄露漏洞 | CVE-2016-3321 | 否 | 否 |
| Microsoft浏览器信息泄露漏洞 | CVE-2016-3329 | 否 | 否 |
缓解因素
以下缓解因素可能对您的情况有所帮助:
- 仅限CVE-2016-3321:攻击者必须拥有有效的登录凭据并能够本地登录才能利用此漏洞。
变通办法
Microsoft未识别出这些漏洞的任何变通办法。
多个Internet Explorer信息泄露漏洞
当Internet Explorer不正确地处理内存中的对象时,存在多个信息泄露漏洞。成功利用这些漏洞的攻击者可以获取信息以进一步危害用户的系统。
要利用这些漏洞,在基于Web的攻击情形中,攻击者可以托管一个用于尝试利用这些漏洞的网站。此外,被入侵的网站以及接受或托管用户提供的内容的网站可能包含可能利用这些漏洞的特制内容。但在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。相反,攻击者必须诱使用户采取行动。例如,攻击者可能诱骗用户点击链接使用户转到攻击者的站点。该更新通过更改某些函数处理内存中对象的方式来解决漏洞。
下表包含指向“常见漏洞和暴露”列表中每个漏洞的标准条目的链接:
| 漏洞标题 | CVE编号 | 公开披露 | 被利用 |
|---|---|---|---|
| Microsoft浏览器信息泄露漏洞 | CVE-2016-3326 | 否 | 否 |
| Microsoft浏览器信息泄露漏洞 | CVE-2016-3327 | 否 | 否 |
缓解因素
Microsoft未识别出这些漏洞的任何缓解因素。
变通办法
Microsoft未识别出这些漏洞的任何变通办法。
安全更新部署
有关安全更新部署的信息,请参阅执行摘要中引用的Microsoft知识库文章。
致谢
Microsoft感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所做的努力。有关详细信息,请参阅致谢。
免责声明
Microsoft知识库中提供的信息“按原样”提供,不作任何形式的担保。Microsoft否认所有明示或暗示的担保,包括对适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation或其供应商均不对任何损害承担责任,包括直接的、间接的、偶然的、后果性的、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。有些州不允许排除或限制间接或后果性损害的责任,因此上述限制可能不适用。
修订版本
- V1.0(2016年8月9日):公告发布。
- V2.0(2017年6月13日):为全面解决CVE-2016-3326,Microsoft正在为所有受影响的Microsoft浏览器发布6月安全更新。Microsoft建议运行受影响的Microsoft浏览器的客户安装适用的6月安全更新,以完全免受此漏洞的影响。有关详细信息,请参阅适用的发行说明或Microsoft知识库文章。
页面生成时间:2017-06-07 16:36-07:00。