累积性安全更新 Internet Explorer (3169991)
发布日期: 2016年7月12日 | 更新日期: 2017年3月17日
版本: 1.1
执行摘要
此安全更新解决了Internet Explorer中的漏洞。最严重的漏洞可能允许攻击者在用户使用Internet Explorer查看特制网页时执行远程代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理员用户权限登录,攻击者可以控制受影响的系统。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
此安全更新对受影响Windows客户端上的Internet Explorer 9(IE 9)和Internet Explorer 11(IE 11)评级为“严重”,对受影响Windows服务器上的Internet Explorer 9(IE 9)、Internet Explorer 10(IE 10)和Internet Explorer 11(IE 11)评级为“中等”。有关详细信息,请参阅“受影响的软件”部分。
该更新通过以下方式解决漏洞:
- 修改Internet Explorer处理内存中对象的方式
- 修改JScript和VBScript脚本引擎处理内存中对象的方式
- 更正Microsoft浏览器XSS过滤器验证JavaScript的方式
- 更改Internet Explorer中某些函数处理内存中对象的方式
- 更正Internet Explorer解析HTML的方式
受影响的软件
以下软件版本或版本受到影响。未列出的版本要么已超过其支持生命周期,要么不受影响。
| 操作系统 | 组件 | 最大安全影响 | 总体严重性评级 | 替换的更新* |
|---|---|---|---|---|
| Internet Explorer 9 | ||||
| Windows Vista Service Pack 2 | Internet Explorer 9 (3170106) | 远程代码执行 | 严重 | MS16-063中的3160005 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 9 (3170106) | 远程代码执行 | 严重 | MS16-063中的3160005 |
| Internet Explorer 10 | ||||
| Windows Server 2012 | Internet Explorer 10[1] (3170106) | 远程代码执行 | 中等 | MS16-063中的3160005 |
| Internet Explorer 11 | ||||
| Windows 7 for 32-bit Systems Service Pack 1 | Internet Explorer 11 (3170106) | 远程代码执行 | 严重 | MS16-063中的3160005 |
| Windows 7 for x64-based Systems Service Pack 1 | Internet Explorer 11 (3170106) | 远程代码执行 | 严重 | MS16-063中的3160005 |
[1]有关从2016年1月12日开始对Internet Explorer支持更改的信息,请参阅Microsoft支持生命周期。
漏洞信息
多个Microsoft Internet Explorer内存损坏漏洞
当Internet Explorer不正确地访问内存中的对象时,存在远程代码执行漏洞。这些漏洞可能以攻击者可以在当前用户上下文中执行任意代码的方式损坏内存。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。
更新通过修改Internet Explorer处理内存中对象的方式来解决漏洞。
受影响的漏洞:
- CVE-2016-3240
- CVE-2016-3241
- CVE-2016-3242
- CVE-2016-3243
- CVE-2016-3264
Internet Explorer安全功能绕过漏洞 - CVE-2016-3245
存在Internet Explorer的限制端口安全功能绕过漏洞。攻击者可以利用该漏洞诱骗用户连接到远程系统。
更新通过更正Internet Explorer验证限制端口的URL的方式来解决漏洞。
多个脚本引擎内存损坏漏洞
在JScript 9和VBScript引擎在Internet Explorer中处理内存中的对象时,存在多个远程代码执行漏洞。这些漏洞可能以攻击者可以在当前用户上下文中执行任意代码的方式损坏内存。
更新通过修改JScript 9和VBScript脚本引擎处理内存中对象的方式来解决漏洞。
受影响的漏洞:
- CVE-2016-3204
- CVE-2016-3248
- CVE-2016-3259
- CVE-2016-3260
多个Internet Explorer信息泄露漏洞
当Microsoft浏览器不正确地处理内存中的对象时,存在信息泄露漏洞。成功利用这些漏洞的攻击者可以获取信息以进一步危害用户的系统。
更新通过更改某些函数处理内存中对象的方式来解决漏洞。
受影响的漏洞:
- CVE-2016-3261
- CVE-2016-3277
Microsoft浏览器信息泄露漏洞 - CVE-2016-3273
当Microsoft浏览器XSS过滤器在特定条件下未正确验证内容时,存在信息泄露漏洞。利用该漏洞的攻击者可以运行可能导致信息泄露的任意JavaScript。
更新通过更正Microsoft浏览器XSS过滤器验证内容的方式来解决漏洞。
Microsoft浏览器欺骗漏洞 - CVE-2016-3274
当Microsoft浏览器未正确解析HTTP内容时,存在欺骗漏洞。成功利用此漏洞的攻击者可以通过将用户重定向到特制网站来欺骗用户。
更新通过更正Microsoft浏览器解析HTTP响应的方式来解决漏洞。
安全更新部署
有关安全更新部署信息,请参阅执行摘要中引用的Microsoft知识库文章。
修订记录
- V1.0(2016年7月12日):公告发布。
- V1.1(2017年3月17日):从漏洞严重性评级和影响表以及漏洞信息中删除了CVE-2016-3276,因为Internet Explorer 9、Internet Explorer 10和Internet Explorer 11不受此漏洞影响。这仅是信息性更改。