累积安全更新 (3177356)
发布日期: 2016年8月9日 | 更新日期: 2017年6月13日 版本: 2.0
执行摘要
此安全更新修复了 Internet Explorer 中的漏洞。其中最严重的漏洞可能允许在用户使用 Internet Explorer 查看特制网页时实现远程代码执行。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,攻击者便可完全控制受影响的系统。攻击者随后可安装程序;查看、更改或删除数据;或创建拥有完全用户权限的新帐户。
此安全更新对于受影响 Windows 客户端上的 Internet Explorer 9 (IE 9) 和 Internet Explorer 11 (IE 11) 评级为“严重”,对于受影响 Windows 服务器上的 Internet Explorer 9 (IE 9)、Internet Explorer 10 (IE 10) 和 Internet Explorer 11 (IE 11) 评级为“中等”。有关详细信息,请参阅“受影响的软件”部分。
该更新通过修改 Internet Explorer 和某些函数处理内存中对象的方式来消除这些漏洞。有关漏洞的更多信息,请参阅“漏洞信息”部分。
有关此更新的更多信息,请参阅 Microsoft 知识库文章 3177356。
受影响软件
以下软件版本或产品受到影响。未列出的版本或产品要么已超过其支持生命周期,要么不受影响。要确定软件版本或产品的支持生命周期,请参阅 Microsoft 支持生命周期。
Internet Explorer 9
| 操作系统 | 组件 | 最高安全影响 | 综合严重性等级 | 替代的更新* |
|---|---|---|---|---|
| Windows Vista Service Pack 2 | Internet Explorer 9 (3175443) | 远程代码执行 | 严重 | MS16-084 中的 3170106 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 9 (3175443) | 远程代码执行 | 严重 | MS16-084 中的 3170106 |
| Windows Server 2008(用于 32 位系统)Service Pack 2 | Internet Explorer 9 (4021558) | 远程代码执行 | 中等 | 4018271 |
| Windows Server 2008(用于基于 x64 的系统)Service Pack 2 | Internet Explorer 9 (4021558) | 远程代码执行 | 中等 | 4018271 |
Internet Explorer 10
| 操作系统 | 组件 | 最高安全影响 | 综合严重性等级 | 替代的更新* |
|---|---|---|---|---|
| Windows Server 2012 | Internet Explorer 10 [1] (4021558) | 远程代码执行 | 中等 | 4018271 |
Internet Explorer 11
| 操作系统 | 组件 | 最高安全影响 | 综合严重性等级 | 替代的更新* |
|---|---|---|---|---|
| Windows 7(用于 32 位系统)Service Pack 1 | Internet Explorer 11 (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows 7(用于基于 x64 的系统)Service Pack 1 | Internet Explorer 11 (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 | Internet Explorer 11 [1] (4021558) | 远程代码执行 | 中等 | 4018271 |
| Windows 8.1(用于 32 位系统) | Internet Explorer 11 (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows 8.1(用于基于 x64 的系统) | Internet Explorer 11 (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows Server 2012 R2 | Internet Explorer 11 (4021558) | 远程代码执行 | 中等 | 4018271 |
| Windows RT 8.1 | Internet Explorer 11 [1][2] (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows 10(用于 32 位系统)[3] (4022727) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019474 |
| Windows 10(用于基于 x64 的系统)[3] (4022727) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019474 |
| Windows 10 版本 1511(用于 32 位系统)[3] (4022714) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019473 |
| Windows 10 版本 1511(用于基于 x64 的系统)[3] (4022714) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019473 |
| Windows 10 版本 1607(用于 32 位系统)[3] (4022715) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019472 |
| Windows 10 版本 1607(用于基于 x64 的系统)[3] (4022715) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019472 |
[1] 有关 Internet Explorer 支持从 2016 年 1 月 12 日开始发生更改的信息,请参阅 Microsoft 支持生命周期。
[2] 此更新可通过 Windows Update 获取。
[3] Windows 10 更新是累积性的。每月安全发布包含所有影响 Windows 10 的漏洞的安全修复程序,以及非安全更新。这些更新可通过 Microsoft 更新目录 获取。
注意 本公告中讨论的漏洞会影响 Windows Server 2016 Technical Preview 5。为免受这些漏洞的影响,Microsoft 建议运行此操作系统的客户应用当前更新,该更新仅通过 Windows Update 提供。
*“替代的更新”列仅显示被取代更新链中的最新更新。有关被取代更新的完整列表,请转到 Microsoft 更新目录,搜索更新 KB 编号,然后查看更新详细信息(更新替代信息在“程序包详细信息”选项卡上提供)。
更新常见问题解答
此更新是否包含任何与安全性相关的附加功能更改? 是的。除了本公告中描述的漏洞的更改之外,此更新还包括纵深防御更新,以帮助改进与安全相关的功能。
此外,随着此更新的发布,为了符合行业安全标准,Internet Explorer 11 和 Edge 浏览器将禁用 RC4 加密。有关详细信息,请参阅 Microsoft 知识库文章 3151631。
严重性等级和漏洞标识符
以下严重性等级假设漏洞可能造成的最严重影响。有关此安全公告发布后 30 天内,漏洞被利用的可能性(相对于其严重性等级和安全影响)的信息,请参阅 8 月份公告摘要中的可利用性指数。
在“严重性等级和影响”表中指定的“严重”、“重要”和“中等”值表示严重性等级。有关详细信息,请参阅安全公告严重性等级系统。请参阅下表了解用于指示最大影响的缩写:
| 缩写 | 最大影响 |
|---|---|
| RCE | 远程代码执行 |
| EoP | 权限提升 |
| ID | 信息泄露 |
| SFB | 安全功能绕过 |
漏洞严重性等级和影响
| CVE 编号 | 漏洞标题 | Internet Explorer 9 | Internet Explorer 10 | Internet Explorer 11 | Windows 10 上的 Internet Explorer 11 |
|---|---|---|---|---|---|
| CVE-2016-3288 | Internet Explorer 内存损坏漏洞 | 不适用 | 不适用 | Windows 客户端:严重 / RCE Windows 服务器:中等 / RCE | Windows 客户端:严重 / RCE Windows 服务器:中等 / RCE |
| CVE-2016-3289 | Microsoft 浏览器内存损坏漏洞 | 不适用 | 不适用 | Windows 客户端:严重 / RCE Windows 服务器:中等 / RCE | Windows 客户端:严重 / RCE Windows 服务器:中等 / RCE |
| CVE-2016-3290 | Internet Explorer 内存损坏漏洞 | 不适用 | 不适用 | Windows 客户端:严重 / RCE Windows 服务器:中等 / RCE | Windows 客户端:严重 / RCE Windows 服务器:中等 / RCE |
| CVE-2016-3293 | Microsoft 浏览器内存损坏漏洞 | Windows 客户端:严重 / RCE Windows 服务器:中等 / RCE | Windows 客户端:严重 / RCE Windows 服务器:中等 / RCE | Windows 客户端:严重 / RCE Windows 服务器:中等 / RCE | Windows 客户端:严重 / RCE Windows 服务器:中等 / RCE |
| CVE-2016-3321 | Internet Explorer 信息泄露漏洞 | 不适用 | Windows 客户端:中等 / ID Windows 服务器:低 / ID | Windows 客户端:中等 / ID Windows 服务器:低 / ID | Windows 客户端:中等 / ID Windows 服务器:低 / ID |
| CVE-2016-3322 | Microsoft 浏览器内存损坏漏洞 | 不适用 | 不适用 | Windows 客户端:严重 / RCE Windows 服务器:中等 / RCE | Windows 客户端:严重 / RCE Windows 服务器:中等 / RCE |
| CVE-2016-3326 | Microsoft 浏览器信息泄露漏洞 | Windows 客户端:重要 / ID Windows 服务器:低 / ID | Windows 客户端:重要 / ID Windows 服务器:低 / ID | Windows 客户端:重要 / ID Windows 服务器:低 / ID | Windows 客户端:重要 / ID Windows 服务器:低 / ID |
| CVE-2016-3327 | Microsoft 浏览器信息泄露漏洞 | Windows 客户端:重要 / ID Windows 服务器:低 / ID | Windows 客户端:重要 / ID Windows 服务器:低 / ID | Windows 客户端:重要 / ID Windows 服务器:低 / ID | Windows 客户端:重要 / ID Windows 服务器:低 / ID |
| CVE-2016-3329 | Microsoft 浏览器信息泄露漏洞 | Windows 客户端:中等 / ID Windows 服务器:低 / ID | Windows 客户端:中等 / ID Windows 服务器:低 / ID | Windows 客户端:中等 / ID Windows 服务器:低 / ID | Windows 客户端:中等 / ID Windows 服务器:低 / ID |
漏洞信息
多个 Microsoft Internet Explorer 内存损坏漏洞
当 Internet Explorer 不正确地访问内存中的对象时,存在多个远程代码执行漏洞。这些漏洞可能以攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则攻击者可以控制受影响的系统。攻击者随后可安装程序;查看、更改或删除数据;或创建拥有完全用户权限的新帐户。
攻击者可能托管一个专门设计的网站,旨在通过 Internet Explorer 利用这些漏洞,然后说服用户查看该网站。攻击者还可能利用受到破坏的网站,或者接受或托管用户提供的内容或广告的网站,通过添加可能利用这些漏洞的特制内容。但在所有情况下,攻击者都无法强迫用户查看攻击者控制的内容。相反,攻击者需要说服用户采取行动,通常是通过电子邮件或 Instant Messenger 消息中的诱惑,或者让他们打开通过电子邮件发送的附件。该更新通过修改 Internet Explorer 处理内存中对象的方式来解决这些漏洞。
下表包含指向“常见漏洞和披露”列表中每个漏洞的标准条目的链接:
| 漏洞标题 | CVE 编号 | 公开披露 | 已利用 |
|---|---|---|---|
| Internet Explorer 内存损坏漏洞 | CVE-2016-3288 | 否 | 否 |
| Microsoft 浏览器内存损坏漏洞 | CVE-2016-3289 | 否 | 否 |
| Internet Explorer 内存损坏漏洞 | CVE-2016-3290 | 否 | 否 |
| Microsoft 浏览器内存损坏漏洞 | CVE-2016-3293 | 否 | 否 |
| Microsoft 浏览器内存损坏漏洞 | CVE-2016-3322 | 否 | 否 |
缓解因素 Microsoft 尚未发现这些漏洞的任何缓解因素。
变通办法 Microsoft 尚未发现这些漏洞的任何变通办法。
常见问题解答 我是否在 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 或 Windows Server 2012 R2 上运行 Internet Explorer。这是否能缓解这些漏洞? 是的。默认情况下,Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2 上的 Internet Explorer 以称为增强安全配置的限制模式运行。增强安全配置是 Internet Explorer 中的一组预配置设置,可以减少用户或管理员在服务器上下载和运行特制 Web 内容的可能性。对于您尚未添加到 Internet Explorer“受信任的站点”区域的网站,这是一个缓解因素。
EMET 是否有助于缓解试图利用这些漏洞的攻击? 是的。增强缓解体验工具包 (EMET) 使用户能够管理安全缓解技术,这些技术有助于使攻击者更难利用给定软件中的内存损坏漏洞。在安装并配置了 EMET 以与 Internet Explorer 配合使用的系统上,EMET 可以帮助缓解试图利用 Internet Explorer 中这些漏洞的攻击。 有关 EMET 的更多信息,请参阅增强缓解体验工具包。
多个 Internet Explorer 信息泄露漏洞
当 Internet Explorer 不正确地处理页面内容时,存在多个信息泄露漏洞,这可能允许攻击者检测用户系统上是否存在特定文件。该更新通过帮助确保在 Internet Explorer 中正确验证页面内容来解决此漏洞。
要利用这些漏洞,在基于 Web 的攻击情形中,攻击者可能托管一个用于尝试利用这些漏洞的网站。此外,受到破坏的网站以及接受或托管用户提供的内容的网站可能包含可能利用这些漏洞的特制内容。但在所有情况下,攻击者都无法强迫用户查看攻击者控制的内容。相反,攻击者需要说服用户采取行动。例如,攻击者可能诱骗用户单击将他们带到攻击者站点的链接。该更新通过更改某些函数处理内存中对象的方式来解决这些漏洞。
下表包含指向“常见漏洞和披露”列表中每个漏洞的标准条目的链接:
| 漏洞标题 | CVE 编号 | 公开披露 | 已利用 |
|---|---|---|---|
| Internet Explorer 信息泄露漏洞 | CVE-2016-3321 | 否 | 否 |
| Microsoft 浏览器信息泄露漏洞 | CVE-2016-3329 | 否 | 否 |
缓解因素 以下缓解因素可能对您的情况有所帮助:
- 仅适用于 CVE-2016-3321:攻击者必须拥有有效的登录凭据并且能够本地登录才能利用此漏洞。
变通办法 Microsoft 尚未发现这些漏洞的任何变通办法。
多个 Internet Explorer 信息泄露漏洞
当 Internet Explorer 不正确地处理内存中的对象时,存在多个信息泄露漏洞。成功利用这些漏洞的攻击者可以获取信息以进一步危害用户的系统。
要利用这些漏洞,在基于 Web 的攻击情形中,攻击者可能托管一个用于尝试利用这些漏洞的网站。此外,受到破坏的网站以及接受或托管用户提供的内容的网站可能包含可能利用这些漏洞的特制内容。但在所有情况下,攻击者都无法强迫用户查看攻击者控制的内容。相反,攻击者需要说服用户采取行动。例如,攻击者可能诱骗用户单击将他们带到攻击者站点的链接。该更新通过更改某些函数处理内存中对象的方式来解决这些漏洞。
下表包含指向“常见漏洞和披露”列表中每个漏洞的标准条目的链接:
| 漏洞标题 | CVE 编号 | 公开披露 | 已利用 |
|---|---|---|---|
| Microsoft 浏览器信息泄露漏洞 | CVE-2016-3326 | 否 | 否 |
| Microsoft 浏览器信息泄露漏洞 | CVE-2016-3327 | 否 | 否 |
缓解因素 Microsoft 尚未发现这些漏洞的任何缓解因素。
变通办法 Microsoft 尚未发现这些漏洞的任何变通办法。
安全更新部署
有关安全更新部署的信息,请参阅执行摘要中引用的 Microsoft 知识库文章。
致谢
Microsoft 感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所做的努力。有关详细信息,请参阅致谢。
免责声明
Microsoft 知识库提供的信息“按原样”提供,没有任何形式的保证。Microsoft 不作任何明示或暗示的保证,包括对适销性和特定用途适用性的保证。在任何情况下,Microsoft Corporation 或其供应商均不对任何损害(包括直接、间接、附带、后果性、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商已被告知此类损害的可能性。某些州不允许排除或限制对附带或后果性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2016年8月9日):公告发布。
- V2.0(2017年6月13日):为了全面解决 CVE-2016-3326,Microsoft 正在为所有受影响的 Microsoft 浏览器发布 6 月安全更新。Microsoft 建议运行受影响的 Microsoft 浏览器的客户应安装适用的 6 月安全更新,以完全防范此漏洞。有关详细信息,请参阅适用的发行说明或 Microsoft 知识库文章。
页面生成于 2017-06-07 16:36-07:00。