Бюллетень по безопасности Майкрософт MS15-128 — критически важный
Обновление системы безопасности для компонента графики Майкрософт для решения удаленного выполнения кода (3104503)
Опубликовано: 8 декабря 2015 г. | Обновлено: 9 февраля 2016 г.
Версия: 1.1
Краткий обзор
Это обновление системы безопасности устраняет уязвимости в Microsoft Windows, платформа .NET Framework, Microsoft Office, Skype для бизнеса, Microsoft Lync и Silverlight. Уязвимости могут разрешить удаленное выполнение кода, если пользователь открывает специально созданный документ или посещает веб-страницу, содержащую специально созданные внедренные шрифты.
Это обновление системы безопасности имеет критически важное значение для:
- Все поддерживаемые выпуски Microsoft Windows
- Затронутые версии Microsoft платформа .NET Framework во всех поддерживаемых выпусках Microsoft Windows
- Затронутые выпуски Skype для бизнеса 2016, Microsoft Lync 2013 и Microsoft Lync 2010
- Затронутые выпуски Microsoft Office 2007 и Microsoft Office 2010
Дополнительные сведения см. в разделе "Затронутая программа ".
Обновление безопасности устраняет уязвимости, исправляя способ обработки внедренных шрифтов библиотеки шрифтов Windows. Дополнительные сведения об уязвимостях см. в разделе "Сведения об уязвимостях".
Дополнительные сведения об этом обновлении см . в статье базы знаний Майкрософт 3104503.
Оценки серьезности уязвимостей и программного обеспечения
Затронуты следующие версии программного обеспечения или выпуски. Версии или выпуски, не перечисленные в списке, были в прошлом жизненном цикле поддержки или не затронуты. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
Оценки серьезности, указанные для каждого затронутого программного обеспечения, предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке по индексу эксплойтации в декабрьских бюллетенях.
Microsoft Windows
| Операционная система | Уязвимость к повреждению памяти графики — CVE-2015-6106 | Уязвимость повреждения памяти графики — CVE-2015-6107 | Уязвимость повреждения памяти графики — CVE-2015-6108 | Обновления заменено* |
|---|---|---|---|---|
| Windows Vista | ||||
| Windows Vista с пакетом обновления 2 \ (3109094) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows Vista x64 Edition с пакетом обновления 2 \ (3109094) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows Server 2008 | ||||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (3109094) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (3109094) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (3109094) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows 7 | ||||
| Windows 7 для 32-разрядных систем с пакетом обновления 1 \ (3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows 7 для систем на основе x64 с пакетом обновления 1 \ (3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows Server 2008 R2 | ||||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 \ (3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 \ (3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows 8 и Windows 8.1 | ||||
| Windows 8 для 32-разрядных систем \ (3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows 8 для систем на основе x64 \ (3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows 8.1 для 32-разрядных систем \ (3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows 8.1 для систем на основе x64 \ (3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows Server 2012 и Windows Server 2012 R2 | ||||
| Windows Server 2012 \ (3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows Server 2012 R2 \ (3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows RT и Windows RT 8.1 | ||||
| Windows RT [1](3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows RT 8.1 [1](3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows 10 | ||||
| Windows 10 для 32-разрядных систем[2]\ (3116869) | Нет данных | Критическое удаленное выполнение кода | Нет данных | 3105213 |
| Windows 10 для систем на основе x64[2]\ (3116869) | Нет данных | Критическое удаленное выполнение кода | Нет данных | 3105213 |
| Windows 10 версии 1511 для 32-разрядных систем[2]\ (3116900) | Нет данных | Критическое удаленное выполнение кода | Нет данных | 3105211 |
| Windows 10 версии 1511 для систем на основе x64[2]\ (3116900) | Нет данных | Критическое удаленное выполнение кода | Нет данных | 3105211 |
| Вариант установки основных серверных компонентов | ||||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка основных серверных компонентов) \ (3109094) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка основных серверных компонентов) \ (3109094) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) \ (3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows Server 2012 (установка основных серверных компонентов) \ (3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
| Windows Server 2012 R2 (установка основных серверных компонентов) \ (3109094) | Нет данных | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3097877 в MS15-115 |
[1]Это обновление доступно только через Обновл. Windows.
[2]Обновления Windows 10 являются накопительными. Помимо обновлений, не относящихся к безопасности, они также содержат все исправления безопасности для всех уязвимостей, затронутых Windows 10, с ежемесячным выпуском безопасности. Обновления доступны через каталог Центра обновления Майкрософт.
Обратите внимание, что затрагивается Windows Server Technical Preview 3 и Windows Server Technical Preview 4. Клиентам, работающим с этими операционными системами, рекомендуется применить обновление, которое доступно через Обновл. Windows.
*Столбец Обновления "Заменено" отображает только последнее обновление в любой цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог Центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке "Сведения о пакете" указаны обновления).
Microsoft Office
| Операционная система | Уязвимость к повреждению памяти графики — CVE-2015-6106 | Уязвимость повреждения памяти графики — CVE-2015-6107 | Уязвимость повреждения памяти графики — CVE-2015-6108 | Обновления заменено* |
|---|---|---|---|---|
| Microsoft Office 2007; | ||||
| Microsoft Office 2007 с пакетом обновления 3 (3085616) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3085546 в MS15-097 |
| Microsoft Office 2010; | ||||
| Microsoft Office 2010 с пакетом обновления 2 (32-разрядная версия) (3085612) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3085529 в MS15-097 |
| Microsoft Office 2010 с пакетом обновления 2 (64-разрядная версия) (3085612) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3085529 в MS15-097 |
| Другое программное обеспечение Office | ||||
| Средство просмотра Microsoft Word (3114478) | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важное удаленное выполнение кода | нет |
*Столбец Обновления "Заменено" отображает только последнее обновление в любой цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог Центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке "Сведения о пакете" указаны обновления).
Microsoft .NET Framework
| Операционная система | Компонент | Уязвимость повреждения памяти графики — CVE-2015-6108 | Обновления заменено |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 3.0 с пакетом обновления 2 (3099860) | Критическое удаленное выполнение кода | 3072303 в MS15-080, 3048068 в MS15-044 |
| Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4[1][2](3099866) | Критическое удаленное выполнение кода | 3072309 в MS15-080, 3048074 в MS15-044 |
| Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.5/4.5.1/4.5.2[2](3099869) | Критическое удаленное выполнение кода | 3072310 в MS15-080, 3048077 в MS15-044 |
| Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.6[2](3099874) | Критическое удаленное выполнение кода | нет |
| Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 3.0 с пакетом обновления 2 (3099860) | Критическое удаленное выполнение кода | 3072303 в MS15-080, 3048068 в MS15-044 |
| Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 4[1][2](3099866) | Критическое удаленное выполнение кода | 3072309 в MS15-080, 3048074 в MS15-044 |
| Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 4.5/4.5.1/4.5.2[2](3099869) | Критическое удаленное выполнение кода | 3072310 в MS15-080, 3048077 в MS15-044 |
| Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 4.6[2](3099874) | Критическое удаленное выполнение кода | нет |
| Windows Server 2008 | |||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 3.0 с пакетом обновления 2 (3099860) | Критическое удаленное выполнение кода | 3072303 в MS15-080, 3048068 в MS15-044 |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 4[1][2](3099866) | Критическое удаленное выполнение кода | 3072309 в MS15-080, 3048074 в MS15-044 |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 4.5/4.5.1/4.5.2[2](3099869) | Критическое удаленное выполнение кода | 3072310 в MS15-080, 3048077 в MS15-044 |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 4.6[2](3099874) | Критическое удаленное выполнение кода | нет |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 3.0 с пакетом обновления 2 (3099860) | Критическое удаленное выполнение кода | 3072303 в MS15-080, 3048068 в MS15-044 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4[1][2](3099866) | Критическое удаленное выполнение кода | 3072309 в MS15-080, 3048074 в MS15-044 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.5/4.5.1/4.5.2[2](3099869) | Критическое удаленное выполнение кода | 3072310 в MS15-080, 3048077 в MS15-044 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.6[2](3099874) | Критическое удаленное выполнение кода | нет |
| Windows 7 | |||
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3099862) | Критическое удаленное выполнение кода | 3048070 в MS15-044 |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3099862) | Критическое удаленное выполнение кода | 3048070 в MS15-044 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3099862) | Критическое удаленное выполнение кода | 3048070 в MS15-044 |
| Windows 8 и Windows 8.1 | |||
| Windows 8 для 32-разрядных систем | Microsoft платформа .NET Framework 3.5 (3099863) | Критическое удаленное выполнение кода | нет |
| Windows 8 для систем на основе x64 | Microsoft платформа .NET Framework 3.5 (3099863) | Критическое удаленное выполнение кода | нет |
| Windows 8.1 для 32-разрядных систем | Microsoft платформа .NET Framework 3.5 (3099864) | Критическое удаленное выполнение кода | нет |
| Windows 8.1 для систем на основе x64 | Microsoft платформа .NET Framework 3.5 (3099864) | Критическое удаленное выполнение кода | нет |
| Windows Server 2012 и Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft платформа .NET Framework 3.5 (3099863) | Критическое удаленное выполнение кода | нет |
| Windows Server 2012 R2 | Microsoft платформа .NET Framework 3.5 (3099864) | Критическое удаленное выполнение кода | нет |
| Windows 10 | |||
| Windows 10 для 32-разрядных систем[3](3116869) | Платформа Microsoft .NET Framework 3.5 | Критическое удаленное выполнение кода | 3105213 |
| Windows 10 для 64-разрядных систем[3](3116869) | Платформа Microsoft .NET Framework 3.5 | Критическое удаленное выполнение кода | 3105213 |
| Вариант установки основных серверных компонентов | |||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 3.5.1 (3099862) | Критическое удаленное выполнение кода | 3048070 в MS15-044 |
| Windows Server 2012 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 3.5 (3099863) | Критическое удаленное выполнение кода | нет |
| Windows Server 2012 R2 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 3.5 (3099864) | Критическое удаленное выполнение кода | нет |
[1]платформа .NET Framework 4 и платформа .NET Framework 4 профиля клиента.
[2]Сведения об изменениях в поддержке платформа .NET Framework 4.x см. в Обозреватель Интернета и платформа .NET Framework объявления о поддержке 4.x.
[3]Обновления Windows 10 являются накопительными. Помимо обновлений, не относящихся к безопасности, они также содержат все исправления безопасности для всех уязвимостей, затронутых Windows 10, с ежемесячным выпуском безопасности. Обновления доступны через каталог Центра обновления Майкрософт.
Платформы и программное обеспечение Microsoft Communications
| Операционная система | Уязвимость к повреждению памяти графики — CVE-2015-6106 | Уязвимость повреждения памяти графики — CVE-2015-6107 | Уязвимость повреждения памяти графики — CVE-2015-6108 | Обновления заменено* |
|---|---|---|---|---|
| Skype для бизнеса 2016 | ||||
| Skype для бизнеса 2016 (32-разрядные выпуски) \ (3114372) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3085634 в MS15-123 |
| Skype для бизнеса Basic 2016 (32-разрядные выпуски) \ (3114372) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3085634 в MS15-123 |
| Skype для бизнеса 2016 (64-разрядные выпуски) \ (3114372) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3085634 в MS15-123 |
| Skype для бизнеса Basic 2016 (64-разрядные выпуски) \ (3114372) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3085634 в MS15-123 |
| Microsoft Lync 2013 | ||||
| Microsoft Lync 2013 с пакетом обновления 1 (32-разрядная версия) [1]\ (Skype для бизнеса) \ (3114351) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3101496 в MS15-123 |
| Microsoft Lync Basic 2013 с пакетом обновления 1 (32-разрядная версия) [1]\ (Skype для бизнеса базовый) \ (3114351) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3101496 в MS15-123 |
| Microsoft Lync 2013 с пакетом обновления 1 (64-разрядная версия) [1]\ (Skype для бизнеса) \ (3114351) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3101496 в MS15-123 |
| Microsoft Lync Basic 2013 с пакетом обновления 1 (64-разрядная версия) [1]\ (Skype для бизнеса базовый)\ (3114351) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3101496 в MS15-123 |
| Microsoft Lync 2010 | ||||
| Microsoft Lync 2010 (32-разрядная версия) \ (3115871) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3096735 в MS15-123 |
| Microsoft Lync 2010 (64-разрядная версия)\ (3115871) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3096735 в MS15-123 |
| Microsoft Lync 2010 Attendee[2]\ (установка на уровне пользователя) \ (3115872) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3096736 в MS15-123 |
| Microsoft Lync 2010 Attendee \ (установка уровня администратора) \ (3115873) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | 3096738 в MS15-123 |
| Консоль Microsoft Live Meeting 2007 | ||||
| Консоль Microsoft Live Meeting 2007[3]\ (3115875) | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | нет |
[1]Перед установкой этого обновления необходимо установить 2965218 3039779 обновления и обновления системы безопасности. Дополнительные сведения см. в разделе "Вопросы и ответы об обновлении".
[2]Это обновление доступно только в Центре загрузки Майкрософт.
[3]Также доступно обновление надстройки конференц-связи для Microsoft Office Outlook. Дополнительные сведения и ссылки на скачивание см. в разделе "Скачать надстройку конференц-связи" для Microsoft Office Outlook.
*Столбец Обновления "Заменено" отображает только последнее обновление в цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке "Сведения о пакете" заменены обновлениями).
Средства разработчика Майкрософт и программное обеспечение
| Программное обеспечение. | Уязвимость повреждения памяти графики — CVE-2015-6108 | Обновления заменено* |
|---|---|---|
| Microsoft Silverlight 5 при установке на Mac\ (3106614) | Критическое \ удаленное выполнение кода | 3080333 в MS15-080 |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке на Mac\ (3106614) | Критическое \ удаленное выполнение кода | 3080333 в MS15-080 |
| Microsoft Silverlight 5 при установке во всех поддерживаемых выпусках клиентов Microsoft Windows\ (3106614) | Критическое \ удаленное выполнение кода | 3080333 в MS15-080 |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке во всех поддерживаемых выпусках клиентов Microsoft Windows\ (3106614) | Критическое \ удаленное выполнение кода | 3080333 в MS15-080 |
| Microsoft Silverlight 5 при установке на всех поддерживаемых выпусках серверов Microsoft Windows\ (3106614) | Критическое \ удаленное выполнение кода | 3080333 в MS15-080 |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке на всех поддерживаемых выпусках серверов Microsoft Windows\ (3106614) | Критическое \ удаленное выполнение кода | 3080333 в MS15-080 |
*Столбец Обновления "Заменено" отображает только последнее обновление в цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке "Сведения о пакете" заменены обновлениями).
Вопросы и ответы по обновлению
Почему некоторые из обновлений, перечисленных в этом бюллетене, также обозначаются в других бюллетенях, выпускающих в этом месяце?
Так как бюллетени разбиваются на уязвимости системы безопасности, которые они обращаются, а не пакетами обновлений, можно использовать отдельные бюллетени для ссылки на то же обновление, если исправления для их соответствующих уязвимостей были консолидированы в один пакет обновления. В таких ситуациях уязвимости, описанные в одном бюллетене, также могут иметь совершенно разные оценки серьезности и влияния, чем уязвимости, описанные в другом бюллетене. Это часто происходит с накопительными обновлениями для таких продуктов, как Интернет Обозреватель или Silverlight, где отдельные обновления содержат исправления для очень разных уязвимостей безопасности, которые обсуждаются в отдельных бюллетенях.
Обратите внимание, что не требуется устанавливать одинаковые файлы обновления с несколькими бюллетенями.
Существует несколько пакетов обновления, доступных для некоторых затронутых программ. Необходимо ли установить все обновления, перечисленные в таблице затронутых программ для программного обеспечения?
Да. Клиенты должны применять все обновления, предлагаемые для программного обеспечения, установленного в своих системах. При применении нескольких обновлений их можно установить в любом порядке.
Необходимо ли установить эти обновления безопасности в определенной последовательности?
№ В любой последовательности можно применить несколько обновлений для данной системы.
Я работаю под управлением Office 2010, которая указана в качестве затронутого программного обеспечения. Почему я не предлагаю обновление?
Обновление неприменимо к Office 2010 в Windows Vista и более поздних версиях Windows, так как уязвимый код отсутствует.
Я предлагаю это обновление для программного обеспечения, которое специально не указано как затронутые в таблице "Затронутые программное обеспечение и уровень серьезности уязвимостей". Почему я предлагаю это обновление?
Если обновления обращаются к уязвимому коду, который существует в компоненте, который совместно используется между несколькими продуктами Microsoft Office или общим доступом между несколькими версиями одного и того же продукта Microsoft Office, обновление считается применимым ко всем поддерживаемым продуктам и версиям, содержащим уязвимый компонент.
Например, если обновление применяется к продуктам Microsoft Office 2007, в таблице "Затронутое программное обеспечение" может быть указано только Microsoft Office 2007. Однако обновление может применяться к Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, пакету совместимости Майкрософт, Средству просмотра Microsoft Excel или любому другому продукту Microsoft Office 2007, который не указан в конкретной таблице программного обеспечения. Кроме того, если обновление применяется к продуктам Microsoft Office 2010, в таблице "Затронутое программное обеспечение" может быть указано только Microsoft Office 2010. Однако обновление может применяться к Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer или любому другому продукту Microsoft Office 2010, который не указан в таблице затронутых программ.
Дополнительные сведения об этом поведении и рекомендуемых действиях см. в статье базы знаний Майкрософт 830335. Список продуктов Microsoft Office, к которым может применяться обновление, см. в статье базы знаний Майкрософт, связанной с конкретным обновлением.
Существуют ли необходимые условия для любых обновлений, предлагаемых в этом бюллетене для затронутых выпусков Microsoft Lync 2013 (Skype для бизнеса)?
Да. Клиенты, работающие с затронутыми выпусками Microsoft Lync 2013 (Skype для бизнеса), сначала должны установить обновление 2965218 для Office 2013, выпущенное в апреле 2015 г., а затем 3039779 обновление системы безопасности, выпущенное в мае 2015 г. Дополнительные сведения об этих двух необходимых обновлениях см. в следующих статье:
Существуют ли связанные обновления, не связанные с безопасностью, которые клиенты должны устанавливать вместе с обновлением безопасности консоли собраний Microsoft Live?
Да, помимо выпуска обновления безопасности для консоли собраний Microsoft Live, корпорация Майкрософт выпустила следующие обновления, не относящиеся к безопасности, для надстройки конференц-связи OCS для Outlook. Если применимо, корпорация Майкрософт рекомендует клиентам устанавливать эти обновления для поддержания актуальности систем:
- Надстройка конференц-связи OCS для Outlook (32-разрядная версия) (3115870)
- Надстройка конференц-связи OCS для Outlook (64-разрядная версия) (3115870)
Дополнительные сведения см . в статье базы знаний Майкрософт 3115870 .
Почему обновление Участника Lync 2010 (установка уровня пользователя) доступно только в Центре загрузки Майкрософт?
Корпорация Майкрософт выпускает обновление только для участников Lync 2010 (установка уровня пользователя) только в Центре загрузки Майкрософт. Так как установка на уровне пользователя Lync 2010 Attendee обрабатывается через сеанс Lync, методы распространения, такие как автоматическое обновление, не подходят для этого типа установки.
Сведения об уязвимостях
Уязвимости с несколькими повреждениями памяти графики
Существует несколько уязвимостей удаленного выполнения кода, когда библиотека шрифтов Windows неправильно обрабатывает специально созданные внедренные шрифты. Злоумышленник, успешно использующий эти уязвимости, может устанавливать программы; просмотр, изменение или удаление данных; или создайте новые учетные записи с полными правами пользователя.
Существует несколько способов, которым злоумышленник может воспользоваться уязвимостями, например убедить пользователя открыть специально созданный документ или убедить пользователя посетить ненадежную веб-страницу, содержащую внедренные шрифты. Обновление безопасности устраняет уязвимости, исправляя способ обработки внедренных шрифтов библиотеки шрифтов Windows.
В следующих таблицах содержатся ссылки на стандартную запись для каждой уязвимости в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Использованы |
|---|---|---|---|
| Уязвимость повреждения памяти графики | CVE-2015-6106 | No | No |
| Уязвимость повреждения памяти графики | CVE-2015-6107 | No | No |
| Уязвимость повреждения памяти графики | CVE-2015-6108 | No | No |
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этих уязвимостей.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этих уязвимостей.
Развертывание обновлений безопасности
Сведения о развертывании обновлений безопасности см. в статье базы знаний Майкрософт, на которую ссылается сводка по исполнительному руководству.
Благодарности
Корпорация Майкрософт признает усилия тех, кто в сообществе безопасности помогает нам защитить клиентов с помощью скоординированного раскрытия уязвимостей. Дополнительные сведения см . в подтверждениях .
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (8 декабря 2015 г.): Бюллетень опубликован.
- Версия 1.1 (9 февраля 2016 г.): изменен бюллетень по исправлению обновлений, замененных на платформа .NET Framework 3.5.1, установленных в поддерживаемых выпусках Windows 7 и Windows Server 2008 R2. Это только информационное изменение. Не было изменений в файлах обновления. Клиентам, которые уже успешно обновили свои системы, не нужно предпринимать никаких действий.
Страница создана 2016-02-04 11:14-08:00.