累积性Microsoft Edge安全更新(4013071)
发布日期:2017年3月14日 | 更新日期:2017年8月8日
版本:2.0
执行摘要
此安全更新解决了Microsoft Edge中的漏洞。如果用户使用Microsoft Edge查看特制网页,最严重的漏洞可能允许远程代码执行。成功利用这些漏洞的攻击者可以控制受影响的系统。然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
对于Windows 10上的Microsoft Edge,此安全更新等级为"严重",对于Windows Server 2016则为"中等"。有关更多信息,请参阅受影响的软件部分。
该更新通过修改Microsoft Edge处理内存中对象的方式来解决漏洞。
有关这些漏洞的更多信息,请参阅漏洞信息部分。有关此更新的更多信息,请参阅Microsoft知识库文章4013071。
受影响的软件和漏洞严重性等级
以下软件版本或版本受到影响。未列出的版本或版本要么已超过其支持生命周期,要么不受影响。要确定软件版本或版本的支持生命周期,请参阅Microsoft支持生命周期。
为每个受影响的软件指示的严重性等级假设漏洞的潜在最大影响。有关此安全公告发布后30天内漏洞可利用性与其严重性等级和安全影响相关的可能性的信息,请参阅3月公告摘要中的可利用性索引。
注意:请参阅安全更新指南以获取使用安全更新信息的新方法。您可以自定义视图并创建受影响的软件电子表格,以及通过restful API下载数据。有关更多信息,请参阅安全更新指南常见问题解答。提醒一下,安全更新指南将取代安全公告。有关更多详细信息,请参阅我们的博客文章《进一步推进我们对安全更新的承诺》。
Microsoft Edge受影响的软件
| 操作系统 | 组件 | 最大安全影响 | 总体严重性等级 | 替换的更新 |
|---|---|---|---|---|
| Windows 10 32位系统1 | Microsoft Edge | 远程代码执行 | 严重 | 4022727 |
| Windows 10 基于x64的系统1 | Microsoft Edge | 远程代码执行 | 严重 | 4022727 |
| Windows 10版本1511 32位系统1 | Microsoft Edge | 远程代码执行 | 严重 | 4022714 |
| Windows 10版本1511 基于x64的系统1 | Microsoft Edge | 远程代码执行 | 严重 | 4022714 |
| Windows 10版本1607 32位系统1 | Microsoft Edge | 远程代码执行 | 严重 | 4022715 |
| Windows 10版本1607 基于x64的系统1 | Microsoft Edge | 远程代码执行 | 严重 | 4022715 |
| Windows 10版本1703 32位系统1 | Microsoft Edge | 远程代码执行 | 严重 | 4022725 |
| Windows 10版本1703 基于x64的系统1 | Microsoft Edge | 远程代码执行 | 严重 | 4022725 |
| Windows Server 2016 基于x64的系统1 | Microsoft Edge | 远程代码执行 | 中等 | 3213986 |
[1]Windows 10和Windows Server 2016更新是累积性的。每月安全版本包括影响Windows 10的所有安全修复程序,以及非安全更新。这些更新可通过Microsoft更新目录获得。请注意,从2016年12月13日起,累积更新的Windows 10和Windows Server 2016详细信息将记录在发行说明中。请参阅发行说明以获取操作系统内部版本号、已知问题和受影响文件列表信息。
*“替换的更新"列仅显示被取代链中的最新更新。有关被取代更新的完整列表,请转到Microsoft更新目录,搜索更新KB编号,然后查看更新详细信息(在被取代信息选项卡上提供被取代信息)。
更新常见问题解答
此公告中讨论的PDF库漏洞也在3月发布的Windows PDF公告(MS17-009)中讨论。为了保护我的特定系统和Microsoft Edge配置免受此漏洞的影响,我需要安装多个更新吗?
不需要。运行Windows 10系统的客户只需为其系统安装一个累积更新即可免受CVE-2017-0023的影响。PDF库漏洞出现在Microsoft Edge公告中,因为在Windows 10系统上,此漏洞的安全修复程序位于累积更新中附带的Microsoft Edge组件中。
严重性等级和漏洞标识符
以下严重性等级假设漏洞的潜在最大影响。有关此安全公告发布后30天内漏洞可利用性与其严重性等级和安全影响相关的可能性的信息,请参阅3月公告摘要中的可利用性索引。
在"严重性等级和影响"表中指定的"严重”、“重要"和"中等"值表示严重性等级。有关更多信息,请参阅安全公告严重性等级系统。请参阅以下键以了解表中用于指示最大影响的缩写:
| 缩写 | 最大影响 |
|---|---|
| RCE | 远程代码执行 |
| EoP | 权限提升 |
| ID | 信息泄露 |
| SFB | 安全功能绕过 |
漏洞严重性等级和影响
| CVE编号 | 漏洞标题 | Microsoft Edge |
|---|---|---|
| CVE-2017-0009 | Microsoft浏览器信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2017-0010 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0011 | Microsoft Edge信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2017-0012 | Microsoft浏览器欺骗漏洞 | Windows客户端:重要/欺骗 Windows服务器:低/欺骗 |
| CVE-2017-0015 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE(仅Windows 10和Windows 10版本1511受影响) |
| CVE-2017-0017 | Microsoft Edge信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2017-0023 | Microsoft PDF内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0032 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0033 | Microsoft浏览器欺骗漏洞 | Windows客户端:重要/欺骗 Windows服务器:低/欺骗 |
| CVE-2017-0034 | Microsoft Edge内存损坏漏洞 | Windows客户端:严重/RCE(仅Windows 10版本1607受影响)Windows服务器:中等/RCE |
| CVE-2017-0035 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0037 | Microsoft浏览器内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0065 | Microsoft浏览器信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2017-0066 | Microsoft Edge安全功能绕过漏洞 | Windows客户端:重要/SFB Windows服务器:低/SFB |
| CVE-2017-0067 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0068 | Microsoft Edge信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2017-0069 | Microsoft Edge欺骗漏洞 | Windows客户端:重要/欺骗 Windows服务器:低/欺骗 |
| CVE-2017-0070 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0071 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0094 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0131 | 脚本引擎内存损坏漏洞 | Windows客户端:重要/RCE Windows服务器:低/RCE |
| CVE-2017-0132 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0133 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE(仅Windows 10版本1511和1607受影响)Windows服务器:中等/RCE |
| CVE-2017-0134 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0135 | Microsoft Edge安全功能绕过 | Windows客户端:重要/SFB Windows服务器:低/SFB |
| CVE-2017-0136 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE(仅Windows 10版本1607受影响) |
| CVE-2017-0137 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0138 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0140 | Microsoft Edge安全功能绕过 | Windows客户端:重要/SFB(仅Windows 10版本1607受影响)Windows服务器:低/SFB |
| CVE-2017-0141 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2017-0150 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE(仅Windows 10版本1607受影响)Windows服务器:中等/RCE |
| CVE-2017-0151 | 脚本引擎内存损坏漏洞 | Windows客户端:严重/RCE(仅Windows 10版本1607受影响)Windows服务器:中等/RCE |
漏洞信息
多个Microsoft脚本引擎内存损坏漏洞
当受影响的Microsoft脚本引擎在Microsoft浏览器中处理内存中的对象时,存在多个远程代码执行漏洞。这些漏洞可能以攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用这些漏洞的攻击者可以控制受影响的系统。然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
在基于Web的攻击场景中,攻击者可以托管一个特制网站,该网站旨在通过Microsoft浏览器利用这些漏洞,然后诱使用户查看该网站。攻击者还可以在托管Edge渲染引擎的应用程序或Microsoft Office文档中嵌入标记为"安全初始化"的ActiveX控件。攻击者还可以利用受感染的网站以及接受或托管用户提供的内容或广告的网站。这些网站可能包含可能利用漏洞的特制内容。
安全更新通过修改受影响的Microsoft脚本引擎处理内存中对象的方式来解决这些漏洞。
多个Microsoft Edge信息泄露漏洞
受影响的组件处理内存中对象的方式存在多个信息泄露漏洞。成功利用这些漏洞的攻击者可以获取信息以进一步破坏目标系统。
在基于Web的攻击场景中,攻击者可以托管用于尝试利用漏洞的网站。此外,受感染的网站以及接受或托管用户提供的内容的网站可能包含可用于利用这些漏洞的特制内容。但是,在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。相反,攻击者必须说服用户采取行动。例如,攻击者可以诱骗用户单击将他们带到攻击者站点的链接。
安全更新通过纠正受影响的组件处理内存中对象的方式来解决这些漏洞。
多个Microsoft Edge欺骗漏洞
当Microsoft浏览器未正确解析HTTP响应时,存在多个欺骗漏洞。成功利用这些漏洞的攻击者可以通过将用户重定向到特制网站来欺骗用户。特制网站可能欺骗内容或用作与其他Web服务中的漏洞链接攻击的支点。
要利用这些漏洞,用户必须单击特制的URL。在电子邮件攻击场景中,攻击者可以向用户发送包含特制URL的电子邮件,试图说服用户单击它。
在基于Web的攻击场景中,攻击者可以托管一个特制网站,该网站旨在对用户显示为合法网站。但是,攻击者无法强制用户访问特制网站。攻击者必须说服用户访问特制网站,通常通过电子邮件或即时消息中的诱饵,然后说服用户与网站上的内容进行交互。
该更新通过纠正Microsoft浏览器解析HTTP响应的方式来解决这些漏洞。
Microsoft浏览器内存损坏漏洞CVE-2017-0037
当Microsoft Edge不正确地访问内存中的对象时,存在远程代码执行漏洞。该漏洞可能损坏内存,使攻击者能够在当前用户的上下文中执行任意代码。
攻击者可以托管一个特制网站,该网站旨在通过Microsoft Edge利用该漏洞,然后说服用户查看该网站。攻击者还可以利用受感染的网站以及接受或托管用户提供的内容或广告的网站,通过添加可能利用该漏洞的特制内容。但是,在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。相反,攻击者必须说服用户采取行动,通常通过电子邮件或即时消息中的诱饵,或通过让他们打开通过电子邮件发送的附件。
为了实现完整的代码执行,对手还需要将此漏洞与其他漏洞利用相结合。成功组合多个漏洞以创建漏洞利用链的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则攻击者可以控制受影响的系统。然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
该更新通过修改Microsoft Edge处理内存中对象的方式来解决该漏洞。
Microsoft PDF内存损坏漏洞CVE-2017-0023
当Microsoft Windows PDF库不正确地处理内存中的对象时,存在远程代码执行漏洞。该漏洞可能以使攻击者能够在当前用户的上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则攻击者可以控制受影响的系统。然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
要在将Microsoft Edge设置为默认浏览器的Windows 10系统上利用该漏洞,攻击者可以托管一个包含恶意PDF内容的特制网站,然后说服用户查看该网站。攻击者还可以通过向此类站点添加特制PDF内容来利用受感染的网站或接受或托管用户提供的内容或广告的网站。只有将Microsoft Edge设置为默认浏览器的Windows 10系统才能通过简单地查看网站而受到威胁。所有其他受影响操作系统的浏览器不会自动呈现PDF内容,因此攻击者无法强制用户查看攻击者控制的内容。相反,攻击者必须说服用户打开特制的PDF文档,通常通过电子邮件或即时消息中的诱饵或通过电子邮件附件。
该更新通过修改受影响的系统处理内存中对象的方式来解决该漏洞。
多个Microsoft Edge安全功能绕过漏洞
当Microsoft Edge未能正确应用同源策略对于其他浏览器窗口中存在的HTML元素时,存在多个安全功能绕过漏洞。
攻击者可能诱骗用户加载包含恶意内容的页面。要利用这些漏洞,攻击者需要诱骗用户加载页面或访问站点。该页面也可能被注入到受感染的站点或广告网络中。
该更新通过纠正尝试操作其他浏览器窗口中HTML元素的脚本的同源策略检查来解决这些漏洞。
Microsoft Edge内存损坏漏洞-CVE-2017-0034
当Microsoft Edge不正确地访问内存中的对象时,存在远程代码执行漏洞。该漏洞可能以使攻击者能够在当前用户的上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则攻击者可以控制受影响的系统。然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
攻击者可以托管一个特制网站,该网站旨在通过Microsoft Edge利用该漏洞,然后说服用户查看该网站。攻击者还可以利用受感染的网站以及接受或托管用户提供的内容或广告的网站,通过添加可能利用该漏洞的特制内容。但是,在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。相反,攻击者必须说服用户采取行动,通常通过电子邮件或即时消息中的诱饵,或通过让他们打开电子邮件附件。
该更新通过修改Microsoft Edge处理内存中对象的方式来解决该漏洞。
安全更新部署
有关安全更新部署的信息,请参阅执行摘要中引用的Microsoft知识库文章。
致谢
Microsoft感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所做的努力。有关更多信息,请参阅致谢。
免责声明
Microsoft知识库中提供的信息"按原样"提供,不作任何形式的担保。Microsoft否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation或其供应商均不对任何损害承担责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。某些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。
修订版本
- V1.0(2017年3月14日):公告发布。
- V2.0(2017年8月8日):为了全面解决CVE-2017-0071,Microsoft发布了所有版本Windows 10的7月安全更新。请注意,Windows 10 32位系统、Windows 10基于x64的系统、Windows 10版本1703 32位系统和Windows 10版本1703基于x64的系统已添加到受影响的产品表中,因为它们也受此漏洞影响。Microsoft建议尚未这样做的客户安装2017年7月安全更新,以完全免受此漏洞的影响。
页面生成时间:2017-08-02 09:24-07:00。