累积性Internet Explorer安全更新(3177356)
发布日期: 2016年8月9日 | 更新日期: 2017年6月13日
版本: 2.0
执行摘要
此安全更新可解决Internet Explorer中的漏洞。如果用户使用Internet Explorer查看经特殊设计的网页,其中最严重的漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,攻击者便可控制受影响的系统。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
此安全更新对受影响Windows客户端上的Internet Explorer 9(IE 9)和Internet Explorer 11(IE 11)评级为"严重",对受影响Windows服务器上的Internet Explorer 9(IE 9)、Internet Explorer 10(IE 10)和Internet Explorer 11(IE 11)评级为"中等"。有关详细信息,请参阅"受影响的软件"部分。
此更新通过修改Internet Explorer和某些函数处理内存中对象的方式来解决漏洞。有关漏洞的详细信息,请参阅"漏洞信息"部分。
有关此更新的详细信息,请参阅Microsoft知识库文章3177356。
受影响的软件
以下软件版本或版本受到影响。未列出的版本要么已超过其支持生命周期,要么不受影响。要确定软件版本或版本的支持生命周期,请参阅Microsoft支持生命周期。
Internet Explorer 9
| 操作系统 | 组件 | 最大安全影响 | 综合严重等级 | 替代的更新* |
|---|---|---|---|---|
| Windows Vista Service Pack 2 | Internet Explorer 9 (3175443) | 远程代码执行 | 严重 | MS16-084中的3170106 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 9 (3175443) | 远程代码执行 | 严重 | MS16-084中的3170106 |
| Windows Server 2008(用于32位系统)Service Pack 2 | Internet Explorer 9 (4021558) | 远程代码执行 | 中等 | 4018271 |
| Windows Server 2008(用于基于x64的系统)Service Pack 2 | Internet Explorer 9 (4021558) | 远程代码执行 | 中等 | 4018271 |
Internet Explorer 10
| 操作系统 | 组件 | 最大安全影响 | 综合严重等级 | 替代的更新* |
|---|---|---|---|---|
| Windows Server 2012 | Internet Explorer 10[1] (4021558) | 远程代码执行 | 中等 | 4018271 |
Internet Explorer 11
| 操作系统 | 组件 | 最大安全影响 | 综合严重等级 | 替代的更新* |
|---|---|---|---|---|
| Windows 7(用于32位系统)Service Pack 1 | Internet Explorer 11 (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows 7(用于基于x64的系统)Service Pack 1 | Internet Explorer 11 (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows Server 2008 R2(用于基于x64的系统)Service Pack 1 | Internet Explorer 11[1] (4021558) | 远程代码执行 | 中等 | 4018271 |
| Windows 8.1(用于32位系统) | Internet Explorer 11 (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows 8.1(用于基于x64的系统) | Internet Explorer 11 (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows Server 2012 R2 | Internet Explorer 11 (4021558) | 远程代码执行 | 中等 | 4018271 |
| Windows RT 8.1 | Internet Explorer 11[1][2] (4021558) | 远程代码执行 | 严重 | 4018271 |
| Windows 10(用于32位系统)[3] (4022727) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019474 |
| Windows 10(用于基于x64的系统)[3] (4022727) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019474 |
| Windows 10版本1511(用于32位系统)[3] (4022714) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019473 |
| Windows 10版本1511(用于基于x64的系统)[3] (4022714) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019473 |
| Windows 10版本1607(用于32位系统)[3] (4022715) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019472 |
| Windows 10版本1607(用于基于x64的系统)[3] (4022715) | Internet Explorer 11 | 远程代码执行 | 严重 | 4019472 |
[1]有关从2016年1月12日开始对Internet Explorer支持更改的信息,请参阅Microsoft支持生命周期。
[2]此更新通过Windows Update提供。
[3]Windows 10更新是累积性的。每月安全发布包括影响Windows 10的所有安全修补程序,以及非安全更新。这些更新可通过Microsoft更新目录获取。
注意 此公告中讨论的漏洞会影响Windows Server 2016 Technical Preview 5。为防范这些漏洞,Microsoft建议运行此操作系统的客户应用当前更新,该更新仅通过Windows Update提供。
*“替代的更新"列仅显示被取代更新链中的最新更新。有关替代更新的完整列表,请转到Microsoft更新目录,搜索更新KB编号,然后查看更新详细信息(替代更新信息在"程序包详细信息"选项卡上提供)。
更新常见问题解答
此更新是否包含任何与安全性相关的其他功能更改?
是的。除了此公告中所述漏洞的更改之外,此更新还包括纵深防御更新,以帮助改进安全相关功能。
此外,随着此更新的发布,RC4加密将在Internet Explorer 11和Edge浏览器中禁用,以符合行业安全标准。有关详细信息,请参阅Microsoft知识库文章3151631。
严重等级和漏洞标识符
以下严重等级假设漏洞的潜在最大影响。有关在此安全公告发布后30天内漏洞利用的可能性(与其严重等级和安全影响相关)的信息,请参阅8月公告摘要中的利用指数。
在"严重等级和影响"表中指定的"严重”、“重要"和"中等"值表示严重等级。有关详细信息,请参阅安全公告严重等级评定系统。请参阅下表中的缩写,以了解表中用于指示最大影响的关键:
| 缩写 | 最大影响 |
|---|---|
| RCE | 远程代码执行 |
| EoP | 权限提升 |
| ID | 信息泄露 |
| SFB | 安全功能绕过 |
漏洞严重等级和影响
| CVE编号 | 漏洞标题 | Internet Explorer 9 | Internet Explorer 10 | Internet Explorer 11 | Windows 10上的Internet Explorer 11 |
|---|---|---|---|---|---|
| CVE-2016-3288 | Internet Explorer内存损坏漏洞 | 不适用 | 不适用 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2016-3289 | Microsoft浏览器内存损坏漏洞 | 不适用 | 不适用 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2016-3290 | Internet Explorer内存损坏漏洞 | 不适用 | 不适用 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2016-3293 | Microsoft浏览器内存损坏漏洞 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2016-3321 | Internet Explorer信息泄露漏洞 | 不适用 | Windows客户端:中等/ID Windows服务器:低/ID |
Windows客户端:中等/ID Windows服务器:低/ID |
Windows客户端:中等/ID Windows服务器:低/ID |
| CVE-2016-3322 | Microsoft浏览器内存损坏漏洞 | 不适用 | 不适用 | Windows客户端:严重/RCE Windows服务器:中等/RCE |
Windows客户端:严重/RCE Windows服务器:中等/RCE |
| CVE-2016-3326 | Microsoft浏览器信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
Windows客户端:重要/ID Windows服务器:低/ID |
Windows客户端:重要/ID Windows服务器:低/ID |
Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2016-3327 | Microsoft浏览器信息泄露漏洞 | Windows客户端:重要/ID Windows服务器:低/ID |
Windows客户端:重要/ID Windows服务器:低/ID |
Windows客户端:重要/ID Windows服务器:低/ID |
Windows客户端:重要/ID Windows服务器:低/ID |
| CVE-2016-3329 | Microsoft浏览器信息泄露漏洞 | Windows客户端:中等/ID Windows服务器:低/ID |
Windows客户端:中等/ID Windows服务器:低/ID |
Windows客户端:中等/ID Windows服务器:低/ID |
Windows客户端:中等/ID Windows服务器:低/ID |
漏洞信息
多个Microsoft Internet Explorer内存损坏漏洞
当Internet Explorer不正确地访问内存中的对象时,存在多个远程代码执行漏洞。这些漏洞可能以攻击者可以在当前用户的上下文中执行任意代码的方式破坏内存。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,攻击者便可控制受影响的系统。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
攻击者可以托管一个经特殊设计的网站,该网站旨在通过Internet Explorer利用这些漏洞,然后诱使用户查看该网站。攻击者还可能利用受到破坏的网站以及接受或托管用户提供的内容或广告的网站,通过添加可能利用这些漏洞的特殊设计内容。但在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。相反,攻击者需要诱使用户采取行动,方法通常是通过电子邮件或Instant Messenger消息进行诱骗,或者诱使用户打开通过电子邮件发送的附件。此更新通过修改Internet Explorer处理内存中对象的方式来解决漏洞。
下表包含指向"常见漏洞和暴露"列表中每个漏洞的标准条目的链接:
| 漏洞标题 | CVE编号 | 公开披露 | 被利用 |
|---|---|---|---|
| Internet Explorer内存损坏漏洞 | CVE-2016-3288 | 否 | 否 |
| Microsoft浏览器内存损坏漏洞 | CVE-2016-3289 | 否 | 否 |
| Internet Explorer内存损坏漏洞 | CVE-2016-3290 | 否 | 否 |
| Microsoft浏览器内存损坏漏洞 | CVE-2016-3293 | 否 | 否 |
| Microsoft浏览器内存损坏漏洞 | CVE-2016-3322 | 否 | 否 |
缓解因素
Microsoft并未发现这些漏洞的任何缓解因素。
变通办法
Microsoft并未发现这些漏洞的任何变通办法。
常见问题解答
我是否在Windows Server 2008、Windows Server 2008 R2、Windows Server 2012或Windows Server 2012 R2上运行Internet Explorer?这是否可以缓解这些漏洞?
是的。默认情况下,Windows Server 2008、Windows Server 2008 R2、Windows Server 2012和Windows Server 2012 R2上的Internet Explorer在称为"增强安全配置"的受限模式下运行。增强安全配置是Internet Explorer中一组预配置的设置,可降低用户或管理员在服务器上下载和运行经特殊设计的Web内容的可能性。这是您尚未添加到Internet Explorer"受信任的站点"区域的网站的一个缓解因素。
EMET是否有助于缓解试图利用这些漏洞的攻击?
是的。增强缓解体验工具包(EMET)使用户能够管理安全缓解技术,这些技术有助于使攻击者更难利用给定软件中的内存损坏漏洞。在安装并配置了EMET以与Internet Explorer配合使用的系统上,EMET有助于缓解试图利用Internet Explorer中这些漏洞的攻击。
有关EMET的详细信息,请参阅增强缓解体验工具包。
多个Internet Explorer信息泄露漏洞
当Internet Explorer不正确地处理页面内容时,存在多个信息泄露漏洞,这可能允许攻击者检测用户系统上特定文件的存在。此更新通过帮助确保在Internet Explorer中正确验证页面内容来解决漏洞。
在基于Web的攻击情形中,攻击者可能托管一个用于尝试利用漏洞的网站。此外,受到破坏的网站以及接受或托管用户提供的内容的网站可能包含可能利用漏洞的特殊设计内容。但在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。相反,攻击者需要诱使用户采取行动。例如,攻击者可能诱骗用户点击链接使用户转向攻击者的站点。此更新通过更改某些函数处理内存中对象的方式来解决漏洞。
下表包含指向"常见漏洞和暴露"列表中每个漏洞的标准条目的链接:
| 漏洞标题 | CVE编号 | 公开披露 | 被利用 |
|---|---|---|---|
| Internet Explorer信息泄露漏洞 | CVE-2016-3321 | 否 | 否 |
| Microsoft浏览器信息泄露漏洞 | CVE-2016-3329 | 否 | 否 |
缓解因素
以下缓解因素可能对您的情况有所帮助:
- 仅适用于CVE-2016-3321:攻击者必须拥有有效的登录凭据并且能够本地登录才能利用此漏洞。
变通办法
Microsoft并未发现这些漏洞的任何变通办法。
多个Internet Explorer信息泄露漏洞
当Internet Explorer不正确地处理内存中的对象时,存在多个信息泄露漏洞。成功利用这些漏洞的攻击者可以获取信息以进一步危害用户的系统。
在基于Web的攻击情形中,攻击者可能托管一个用于尝试利用漏洞的网站。此外,受到破坏的网站以及接受或托管用户提供的内容的网站可能包含可能利用漏洞的特殊设计内容。但在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。相反,攻击者需要诱使用户采取行动。例如,攻击者可能诱骗用户点击链接使用户转向攻击者的站点。此更新通过更改某些函数处理内存中对象的方式来解决漏洞。
下表包含指向"常见漏洞和暴露"列表中每个漏洞的标准条目的链接:
| 漏洞标题 | CVE编号 | 公开披露 | 被利用 |
|---|---|---|---|
| Microsoft浏览器信息泄露漏洞 | CVE-2016-3326 | 否 | 否 |
| Microsoft浏览器信息泄露漏洞 | CVE-2016-3327 | 否 | 否 |
缓解因素
Microsoft并未发现这些漏洞的任何缓解因素。
变通办法
Microsoft并未发现这些漏洞的任何变通办法。
安全更新部署
有关安全更新部署信息,请参阅执行摘要中引用的Microsoft知识库文章。
致谢
Microsoft感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所做出的努力。有关详细信息,请参阅致谢。
免责声明
Microsoft知识库中提供的信息"按原样"提供,不作任何担保。Microsoft不作任何明示或暗示保证,包括对适销性和特定用途适用性的保证。在任何情况下,Microsoft Corporation或其供应商均不对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使Microsoft Corporation或其供应商已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。
修订版本
- V1.0(2016年8月9日):公告发布。
- V2.0(2017年6月13日):为全面解决CVE-2016-3326,Microsoft正在为所有受影响的Microsoft浏览器发布6月安全更新。Microsoft建议运行受影响的Microsoft浏览器的客户应安装适用的6月安全更新,以完全防范此漏洞。有关详细信息,请参阅适用的发行说明或Microsoft知识库文章。
页面生成时间:2017年6月7日16:36-07:00。