Бюллетень по безопасности Майкрософт MS16-120 — критически важный
Обновление системы безопасности для компонента графики Майкрософт (3192884)
Опубликовано: 11 октября 2016 г. | Обновлено: 13 декабря 2016 г.
Версия: 2.0
Краткий обзор
Это обновление безопасности устраняет уязвимости в Microsoft Windows, Microsoft Office, Skype для бизнеса, Silverlight и Microsoft Lync. Наиболее серьезные из этих уязвимостей могут разрешить удаленное выполнение кода, если пользователь либо посещает специально созданный веб-сайт, либо открывает специально созданный документ. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Это обновление системы безопасности имеет критически важное значение для:
- Все поддерживаемые выпуски Microsoft Windows
Это обновление системы безопасности оценивается как важное для:
- Затронутые выпуски Microsoft Office 2007 и Microsoft Office 2010
- Затронутые выпуски Skype для бизнеса 2016, Microsoft Lync 2013 и Microsoft Lync 2010
- Затронутые выпуски Microsoft платформа .NET Framework
- Затронутые выпуски Silverlight
Обновление безопасности устраняет уязвимости, исправляя способ обработки внедренных шрифтов библиотеки шрифтов Windows.
Дополнительные сведения см. в разделе "Оценки серьезности уязвимостей" в программном обеспечении и уязвимостях.
Дополнительные сведения об этом обновлении см . в статье базы знаний Майкрософт 3192884.
Оценки серьезности уязвимостей и программного обеспечения
Затронуты следующие версии программного обеспечения или выпуски. Версии или выпуски, не перечисленные в списке, были в прошлом жизненном цикле поддержки или не затронуты. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
Оценки серьезности, указанные для каждого затронутого программного обеспечения, предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о возможности использования уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке бюллетеня по эксплойтации в октябре.
Microsoft Windows
| Операционная система | Уязвимость синтаксического анализа сведений о шрифте true type — CVE-2016-3209 | Уязвимость GDI+ раскрытия информации — CVE-2016-3262 | Уязвимость GDI+ раскрытия информации — CVE-2016-3263 | Уязвимость Win32k для повышения привилегий — CVE-2016-3270 | Уязвимость RCE компонента графики Windows — CVE-2016-3393 | Уязвимость выполнения удаленного кода GDI+ — CVE-2016-3396 | Ошибка синтаксического анализа шрифта true type — CVE-2016-7182 | Обновления заменено* |
|---|---|---|---|---|---|---|---|---|
| Windows Vista | ||||||||
| Windows Vista с пакетом обновления 2 (3191203) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3177725 в MS16-098 |
| Windows Vista x64 Edition с пакетом обновления 2 (3191203) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3177725 в MS16-098 |
| Windows Server 2008 | ||||||||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (3191203) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3177725 в MS16-098 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (3191203) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3177725 в MS16-098 |
| Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (3191203) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3177725 в MS16-098 |
| Windows 7 | ||||||||
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (3192391) Безопасность только[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3175024 в MS16-111 |
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (3185330) Ежемесячный накопительный пакет[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3175024 в MS16-111 |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (3192391) безопасность только[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3175024 в MS16-111 |
| Ежемесячный накопительный пакет обновления 1 (3185330) для windows 7 для систем на основе x64[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3175024 в MS16-111 |
| Windows Server 2008 R2 | ||||||||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (3192391) безопасность только[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3175024 в MS16-111 |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (3185330) Ежемесячный накопительный пакет[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3175024 в MS16-111 |
| Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (3192391) безопасность только[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3175024 в MS16-111 |
| Накопительный пакет обновления 1 (3185330) ежемесячный накопительный пакет обновления Windows Server 2008 R2 для систем на основе Itanium[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3175024 в MS16-111 |
| Windows 8.1 | ||||||||
| Windows 8.1 для 32-разрядных систем (3192392) только для системы безопасности[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185319 в MS16-104 |
| Windows 8.1 для 32-разрядных систем (3185331) Ежемесячный накопительный пакет[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185319 в MS16-104 |
| Windows 8.1 для систем на основе x64 (3192392) безопасность только[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185319 в MS16-104 |
| Windows 8.1 для систем на основе x64 (3185331) Ежемесячный накопительный пакет[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185319 в MS16-104 |
| Windows Server 2012 и Windows Server 2012 R2 | ||||||||
| Только безопасность Windows Server 2012 (3192393) [3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185319 в MS16-104 |
| Ежемесячный накопительный пакет windows Server 2012 (3185332) [3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185319 в MS16-104 |
| Безопасность Только для Windows Server 2012 R2 (3192392) [3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185319 в MS16-104 |
| Ежемесячный накопительный пакет Windows Server 2012 R2 (3185331) [3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185319 в MS16-104 |
| Windows RT 8.1 | ||||||||
| Windows RT 8.1[1](3185331) Ежемесячный накопительный пакет[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185319 в MS16-104 |
| Windows 10 | ||||||||
| Windows 10 для 32-разрядных систем[2](3192440) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185611 |
| Windows 10 для систем на основе x64[2](3192440) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185611 |
| Windows 10 версии 1511 для 32-разрядных систем[2](3192441) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185614 |
| Windows 10 версии 1511 для систем на основе x64[2](3192441) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185614 |
| Windows 10 версии 1607 для 32-разрядных систем[2](3194798) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3189866 |
| Windows 10 версии 1607 для систем на основе x64[2](3194798) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3189866 |
| Вариант установки основных серверных компонентов | ||||||||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка основных серверных компонентов) (3191203) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3177725 в MS16-098 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка основных серверных компонентов) (3191203) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3177725 в MS16-098 |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) (3192391) Безопасность только[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3175024 в MS16-111 |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) (3185330) Ежемесячный накопительный пакет[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3175024 в MS16-111 |
| Windows Server 2012 (установка основных серверных компонентов) (3192393) Безопасность только[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185319 в MS16-104 |
| Ежемесячный накопительный пакет Windows Server 2012 (установка основных серверных компонентов) (3185332) [3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185319 в MS16-104 |
| Windows Server 2012 R2 (установка основных серверных компонентов) (3192392) Безопасность только[3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185319 в MS16-104 |
| Ежемесячный накопительный пакет windows Server 2012 R2 (установка основных серверных компонентов) (3185331) [3] | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное повышение привилегий | Критическое удаленное выполнение кода | Критическое удаленное выполнение кода | Важное повышение привилегий | 3185319 в MS16-104 |
[1]Это обновление доступно только через Обновл. Windows.
[2]Обновления Windows 10 являются накопительными. Ежемесячный выпуск системы безопасности включает все исправления безопасности для уязвимостей, влияющих на Windows 10, помимо обновлений, не относящихся к безопасности. Обновления доступны через каталог Центра обновления Майкрософт.
[3]Начиная с выпуска за октябрь 2016 г. корпорация Майкрософт изменяет модель обслуживания обновлений для Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2. Дополнительные сведения см . в этой статье Microsoft TechNet.
Обратите внимание , что уязвимости, рассмотренные в этом бюллетене, влияют на Windows Server 2016 Technical Preview 5. Чтобы защититься от уязвимостей, корпорация Майкрософт рекомендует клиентам, работающим с этой операционной системой, применить текущее обновление, доступное из Обновл. Windows.
*Столбец Обновления "Заменено" отображает только последнее обновление в любой цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог Центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке PackageDetails предоставляются сведения об обновлениях).
Microsoft платформа .NET Framework — выпуск только для системы безопасности[3]
| Операционная система | Компонент | Уязвимость раскрытия информации .NET — CVE-2016-3209 | Обновления заменено |
|---|---|---|---|
| Windows Vista Microsoft платформа .NET Framework Обновления для версии 3.0, 4.5.2 и 4.6 для Vista и Server 2008 (КБ 3188736) [4] | |||
| Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 3.0 с пакетом обновления 2 (3188726) | Важное раскрытие информации | 3142041 в MS16-039 |
| Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.5.2[1](3189039) | Важное раскрытие информации | 3099869 в MS15-128 |
| Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.6[1](3189040) | Важное раскрытие информации | 3099874 в MS15-128 |
| Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 3.0 с пакетом обновления 2 (3188726) | Важное раскрытие информации | 3142041 в MS16-039 |
| Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 4.5.2[1](3189039) | Важное раскрытие информации | 3099869 в MS15-128 |
| Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 4.6[1](3189040) | Важное раскрытие информации | 3099874 в MS15-128 |
| Windows Server 2008 Microsoft платформа .NET Framework Обновления для версии 3.0, 4.5.2 и 4.6 для Vista и Server 2008 (КБ 3188736)[4] | |||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 3.0 с пакетом обновления 2 (3188726) | Важное раскрытие информации | 3142041 в MS16-039 |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 4.5.2[1](3189039) | Важное раскрытие информации | 3099869 в MS15-128 |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 4.6[1](3189040) | Важное раскрытие информации | 3099874 в MS15-128 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 3.0 с пакетом обновления 2 (3188726) | Важное раскрытие информации | 3142041 в MS16-039 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.5.2[1](3189039) | Важное раскрытие информации | 3099869 в MS15-128 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.6[1](3189040) | Важное раскрытие информации | 3099874 в MS15-128 |
| Windows 7 | |||
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3188730) | Важное раскрытие информации | 3142042 в MS16-039 |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3188730) | Важное раскрытие информации | 3142042 в MS16-039 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3188730) | Важное раскрытие информации | 3142042 в MS16-039 |
| Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3188730) | Важное раскрытие информации | 3142042 в MS16-039 |
| Windows 8.1 | |||
| Windows 8.1 для 32-разрядных систем | Microsoft платформа .NET Framework 3.5 (3188732) | Важное раскрытие информации | 3142045 в MS16-039 |
| Windows 8.1 для систем на основе x64 | Microsoft платформа .NET Framework 3.5 (3188732) | Важное раскрытие информации | 3142045 в MS16-039 |
| Windows Server 2012 и Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft платформа .NET Framework 3.5 (3188731) | Важное раскрытие информации | 3142043 в MS16-039 |
| Windows Server 2012 R2 | Microsoft платформа .NET Framework 3.5 (3188732) | Важное раскрытие информации | 3142045 в MS16-039 |
| Windows 10 | |||
| Windows 10 для 32-разрядных систем[2](3192440) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3163912 |
| Windows 10 для систем на основе x64[2](3192440) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3163912 |
| Windows 10 версии 1511 для 32-разрядных систем[2](3192441) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3185614 |
| Windows 10 версии 1511 для систем на основе x64[2](3192441) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3185614 |
| Windows 10 версии 1607 для 32-разрядных систем[2](3194798) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3189866 |
| Windows 10 версии 1607 для систем на основе x64[2](3194798) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3189866 |
| Вариант установки основных серверных компонентов | |||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 3.5.1 (3188730) | Важное раскрытие информации | 3142042 в MS16-039 |
| Windows Server 2012 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 3.5 (3188731) | Важное раскрытие информации | 3142043 в MS16-039 |
| Windows Server 2012 R2 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 3.5 (3188732) | Важное раскрытие информации | 3142045 в MS16-039 |
[1]Сведения об изменениях в поддержке платформа .NET Framework 4.x см. в Обозреватель Интернета и платформа .NET Framework объявления о поддержке 4.x.
[2]Обновления Windows 10 являются накопительными. Ежемесячный выпуск системы безопасности включает все исправления безопасности для уязвимостей, влияющих на Windows 10, помимо обновлений, не относящихся к безопасности. Обновления доступны через каталог Центра обновления Майкрософт.
[3]Начиная с выпуска за октябрь 2016 г. корпорация Майкрософт изменяет модель обслуживания обновлений для Microsoft платформа .NET Framework. Дополнительные сведения см. в этой записи блога Microsoft .NET.
[4]Существует родительский КБ для Vista и Server2008. Родительский КБ — это предложение КБ, но КБ, перечисленные в таблице, будут видимыми в разделе "Добавление программ удаления".
Обратите внимание , что уязвимость, описанная в этом бюллетене, влияет на Windows Server 2016 Technical Preview 4 и Windows Server 2016 Technical Preview 5. Обновление доступно для Windows Server 2016 Technical Preview 5 через Обновл. Windows. Однако обновление недоступно для Windows Server 2016 Technical Preview 4. Чтобы защититься от уязвимости, корпорация Майкрософт рекомендует клиентам, работающим под управлением Windows Server 2016 Technical Preview 4, обновить до Windows Server 2016 Technical Preview 5.
Microsoft платформа .NET Framework — ежемесячный накопительный выпуск[3]
| Операционная система | Компонент | Уязвимость раскрытия информации .NET — CVE-2016-3209 | Обновления заменено |
|---|---|---|---|
| Windows Vista Microsoft платформа .NET Framework Обновления для версии 3.0, 4.5.2 и 4.6 для Vista и Server 2008 (КБ 3188744) [4] | |||
| Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 3.0 с пакетом обновления 2 (3188735) | Важное раскрытие информации | 3142041 в MS16-039 |
| Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.5.2[1](3189051) | Важное раскрытие информации | Все ранее выпущенные обновления[5] |
| Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.6[1](3189052) | Важное раскрытие информации | Все ранее выпущенные обновления[5] |
| Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 3.0 с пакетом обновления 2 (3188735) | Важное раскрытие информации | 3142041 в MS16-039 |
| Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 4.5.2[1](3189051) | Важное раскрытие информации | Все ранее выпущенные обновления[5] |
| Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 4.6[1](3189052) | Важное раскрытие информации | Все ранее выпущенные обновления[5] |
| Windows Server 2008Microsoft платформа .NET Framework Обновления для версии 3.0, 4.5.2 и 4.6 для Vista и Server 2008 (КБ 3188744)[4] | |||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 3.0 с пакетом обновления 2 (3188735) | Важное раскрытие информации | 3142041 в MS16-039 |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 4.5.2[1](3189051) | Важное раскрытие информации | Все ранее выпущенные обновления[5] |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 4.6[1](3189052) | Важное раскрытие информации | Все ранее выпущенные обновления[5] |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 3.0 с пакетом обновления 2 (3188735) | Важное раскрытие информации | 3142041 в MS16-039 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.5.2[1](3189051) | Важное раскрытие информации | Все ранее выпущенные обновления[5] |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.6[1](3189052) | Важное раскрытие информации | Все ранее выпущенные обновления[5] |
| Windows 7 | |||
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3188740) | Важное раскрытие информации | 3142042 в MS16-039 |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3188740) | Важное раскрытие информации | 3142042 в MS16-039 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3188740) | Важное раскрытие информации | 3142042 в MS16-039 |
| Windows 8.1 | |||
| Windows 8.1 для 32-разрядных систем | Microsoft платформа .NET Framework 3.5 (3188743) | Важное раскрытие информации | 3142045 в MS16-039 |
| Windows 8.1 для систем на основе x64 | Microsoft платформа .NET Framework 3.5 (3188743) | Важное раскрытие информации | 3142045 в MS16-039 |
| Windows Server 2012 и Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft платформа .NET Framework 3.5 (3188741) | Важное раскрытие информации | 3142043 в MS16-039 |
| Windows Server 2012 R2 | Microsoft платформа .NET Framework 3.5 (3188743) | Важное раскрытие информации | 3142045 в MS16-039 |
| Windows 10 | |||
| Windows 10 для 32-разрядных систем[2](3192440) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3163912 |
| Windows 10 для систем на основе x64[2](3192440) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3163912 |
| Windows 10 версии 1511 для 32-разрядных систем[2](3192441) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3185614 |
| Windows 10 версии 1511 для систем на основе x64[2](3192441) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3185614 |
| Windows 10 версии 1607 для 32-разрядных систем[2](3194798) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3189866 |
| Windows 10 версии 1607 для систем на основе x64[2](3194798) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3189866 |
| Вариант установки основных серверных компонентов | |||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 3.5.1 (3188740) | Важное раскрытие информации | 3142042 в MS16-039 |
| Windows Server 2012 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 3.5 (3188741) | Важное раскрытие информации | 3142043 в MS16-039 |
| Windows Server 2012 R2 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 3.5 (3188743) | Важное раскрытие информации | 3142045 в MS16-039 |
[1]Сведения об изменениях в поддержке платформа .NET Framework 4.x см. в Обозреватель Интернета и платформа .NET Framework объявления о поддержке 4.x.
[2]Обновления Windows 10 являются накопительными. Ежемесячный выпуск системы безопасности включает все исправления безопасности для уязвимостей, влияющих на Windows 10, помимо обновлений, не относящихся к безопасности. Обновления доступны через каталог Центра обновления Майкрософт.
[3]Начиная с выпуска за октябрь 2016 г. корпорация Майкрософт изменяет модель обслуживания обновлений для Microsoft платформа .NET Framework. Дополнительные сведения см. в этой записи блога Microsoft .NET.
[4]Существует родительский КБ для Vista и Server2008. Родительский КБ — это предложение КБ, но КБ, перечисленные в таблице, будут видимыми в разделе "Добавление программ удаления".
[5]. Microsoft платформа .NET Framework 4.5.2 и 4.6 являются накопительным пакетом исправлений и включают все предыдущие обновления, а также обновления в этом месяце. Дополнительные сведения см. на этой странице .
Обратите внимание , что уязвимость, описанная в этом бюллетене, влияет на Windows Server 2016 Technical Preview 4 и Windows Server 2016 Technical Preview 5. Обновление доступно для Windows Server 2016 Technical Preview 5 через Обновл. Windows. Однако обновление недоступно для Windows Server 2016 Technical Preview 4. Чтобы защититься от уязвимости, корпорация Майкрософт рекомендует клиентам, работающим под управлением Windows Server 2016 Technical Preview 4, обновить до Windows Server 2016 Technical Preview 5.
Microsoft Office
| Операционная система | Уязвимость синтаксического анализа сведений о шрифте true type — CVE-2016-3209 | Уязвимость GDI+ раскрытия информации — CVE-2016-3262 | Уязвимость GDI+ раскрытия информации — CVE-2016-3263 | Уязвимость выполнения удаленного кода GDI+ — CVE-2016-3396 | Ошибка синтаксического анализа шрифта true type — CVE-2016-7182 | Обновления заменено* |
|---|---|---|---|---|---|---|
| Microsoft Office 2007; | ||||||
| Microsoft Office 2007 с пакетом обновления 3 (3118301) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3115109 в MS16-097 |
| Microsoft Office 2010; | ||||||
| Microsoft Office 2010 с пакетом обновления 2 (32-разрядная версия) (3118317) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3115131 в MS16-097 |
| Microsoft Office 2010 с пакетом обновления 2 (64-разрядная версия) (3118317) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3115131 в MS16-097 |
| Другое программное обеспечение Office | ||||||
| Средство просмотра Microsoft Word (3118394) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3115481 в MS16-097 |
*Столбец Обновления "Заменено" отображает только последнее обновление в любой цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог Центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке "Сведения о пакете" указаны обновления).
Платформы и программное обеспечение Microsoft Communications
| Операционная система | Уязвимость синтаксического анализа сведений о шрифте true type — CVE-2016-3209 | Уязвимость GDI+ раскрытия информации — CVE-2016-3262 | Уязвимость GDI+ раскрытия информации — CVE-2016-3263 | Уязвимость выполнения удаленного кода GDI+ — CVE-2016-3396 | Ошибка синтаксического анализа шрифта true type — CVE-2016-7182 | Обновления заменено* |
|---|---|---|---|---|---|---|
| Skype для бизнеса 2016 | ||||||
| Skype для бизнеса 2016 (32-разрядные выпуски) (3118327) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3115408 в MS16-097 |
| Skype для бизнеса Basic 2016 (32-разрядные выпуски) (3118327) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3115408 в MS16-097 |
| Skype для бизнеса 2016 (64-разрядные выпуски) (3118327) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3115408 в MS16-097 |
| Skype для бизнеса Basic 2016 (64-разрядные выпуски) (3118327) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3115408 в MS16-097 |
| Microsoft Lync 2013 | ||||||
| Microsoft Lync 2013 с пакетом обновления 1 (32-разрядная версия)[1](Skype для бизнеса) (3118348) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3115431 в MS16-097 |
| Microsoft Lync Basic 2013 с пакетом обновления 1 (32-разрядная версия)[1](Skype для бизнеса базовый) (3118348) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3115431 в MS16-097 |
| Microsoft Lync 2013 с пакетом обновления 1 (64-разрядная версия)[1](Skype для бизнеса) (3118348) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3115431 в MS16-097 |
| Microsoft Lync Basic 2013 с пакетом обновления 1 (64-разрядная версия)[1](Skype для бизнеса базовый) (3118348) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3115431 в MS16-097 |
| Microsoft Lync 2010 | ||||||
| Microsoft Lync 2010 (32-разрядная версия) (3188397) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3174301 в MS16-097 |
| Microsoft Lync 2010 (64-разрядная версия) (3188397) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3174301 в MS16-097 |
| Microsoft Lync 2010 Attendee[2](установка уровня пользователя) (3188399) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3174302 в MS16-097 |
| Участник Microsoft Lync 2010 (установка уровня администратора) (3188400) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3174304 в MS16-097 |
| Консоль Microsoft Live Meeting 2007 | ||||||
| Консоль Microsoft Live Meeting 2007[3](3189647) | Важное раскрытие информации | Важное раскрытие информации | Важное раскрытие информации | Важное удаленное выполнение кода | Важное повышение привилегий | 3174305 в MS16-097 |
[1]Перед установкой этого обновления необходимо установить 2965218 3039779 обновления и обновления системы безопасности. Дополнительные сведения см. в разделе "Вопросы и ответы об обновлении".
[2]Это обновление доступно в Центре загрузки Майкрософт.
[3]Также доступно обновление надстройки конференц-связи для Microsoft Office Outlook. Дополнительные сведения и ссылки на скачивание см. в разделе "Скачать надстройку конференц-связи" для Microsoft Office Outlook.
*Столбец Обновления "Заменено" отображает только последнее обновление в цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке "Сведения о пакете" заменены обновлениями).
Средства разработчика Майкрософт и программное обеспечение
| Программное обеспечение. | Уязвимость синтаксического анализа сведений о шрифте true type — CVE-2016-3209 | *Обновления заменено ** |
|---|---|---|
| Microsoft Silverlight 5 при установке на Mac\ (3193713) | Важно\ Раскрытие информации | 3182373 в MS16-109 |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке на Mac\ (3193713) | Важно\ Раскрытие информации | 3182373 в MS16-109 |
| Microsoft Silverlight 5 при установке во всех поддерживаемых выпусках клиентов Microsoft Windows\ (3193713) | Важно\ Раскрытие информации | 3182373 в MS16-109 |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке во всех поддерживаемых выпусках клиентов Microsoft Windows\ (3193713) | Важно\ Раскрытие информации | 3182373 в MS16-109 |
| Microsoft Silverlight 5 при установке на всех поддерживаемых выпусках серверов Microsoft Windows\ (3193713) | Важно\ Раскрытие информации | 3182373 в MS16-109 |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке на всех поддерживаемых выпусках серверов Microsoft Windows\ (3193713) | Важно\ Раскрытие информации | 3182373 в MS16-109 |
*Столбец Обновления "Заменено" отображает только последнее обновление в цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке "Сведения о пакете" заменены обновлениями).
Вопросы и ответы по обновлению
Существует несколько пакетов обновления, доступных для некоторых затронутых программ. Необходимо ли установить все обновления, перечисленные в таблице затронутых программ для программного обеспечения?
Да. Клиенты должны применять все обновления, предлагаемые для программного обеспечения, установленного в своих системах. При применении нескольких обновлений их можно установить в любом порядке.
Необходимо ли установить эти обновления безопасности в определенной последовательности?
№ В любой последовательности можно применить несколько обновлений для данной системы.
Я работаю под управлением Office 2010, которая указана в качестве затронутого программного обеспечения. Почему я не предлагаю обновление?
Обновление неприменимо к Office 2010 в Windows Vista и более поздних версиях Windows, так как уязвимый код отсутствует.
Я предлагаю это обновление для программного обеспечения, которое специально не указано как затронутые в таблице "Затронутые программное обеспечение и уровень серьезности уязвимостей". Почему я предлагаю это обновление?
Если обновления обращаются к уязвимому коду, который существует в компоненте, который совместно используется между несколькими продуктами Microsoft Office или общим доступом между несколькими версиями одного и того же продукта Microsoft Office, обновление считается применимым ко всем поддерживаемым продуктам и версиям, содержащим уязвимый компонент.
Например, если обновление применяется к продуктам Microsoft Office 2007, в таблице "Затронутое программное обеспечение" может быть указано только Microsoft Office 2007. Однако обновление может применяться к Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, пакету совместимости Майкрософт, Средству просмотра Microsoft Excel или любому другому продукту Microsoft Office 2007, который не указан в конкретной таблице программного обеспечения. Кроме того, если обновление применяется к продуктам Microsoft Office 2010, в таблице "Затронутое программное обеспечение" может быть указано только Microsoft Office 2010. Однако обновление может применяться к Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer или любому другому продукту Microsoft Office 2010, который не указан в таблице затронутых программ.
Дополнительные сведения об этом поведении и рекомендуемых действиях см. в статье базы знаний Майкрософт 830335. Список продуктов Microsoft Office, к которым может применяться обновление, см. в статье базы знаний Майкрософт, связанной с конкретным обновлением.
Существуют ли необходимые условия для любых обновлений, предлагаемых в этом бюллетене для затронутых выпусков Microsoft Lync 2013 (Skype для бизнеса)?
Да. Клиенты, работающие с затронутыми выпусками Microsoft Lync 2013 (Skype для бизнеса), сначала должны установить обновление 2965218 для Office 2013, выпущенное в апреле 2015 г., а затем 3039779 обновление системы безопасности, выпущенное в мае 2015 г. Дополнительные сведения об этих двух необходимых обновлениях см. в следующих статье:
Существуют ли связанные обновления, не связанные с безопасностью, которые клиенты должны устанавливать вместе с обновлением безопасности консоли собраний Microsoft Live?
Да, помимо выпуска обновления безопасности для консоли собраний Microsoft Live, корпорация Майкрософт выпустила следующие обновления, не относящиеся к безопасности, для надстройки конференц-связи OCS для Outlook. Если применимо, корпорация Майкрософт рекомендует клиентам устанавливать эти обновления для поддержания актуальности систем:
- Надстройка конференц-связи OCS для Outlook (32-разрядная версия) (3189648)
- Надстройка конференц-связи OCS для Outlook (64-разрядная версия) (3189648)
Дополнительные сведения см . в статье базы знаний Майкрософт 3189648 .
Почему обновление Участника Lync 2010 (установка уровня пользователя) доступно только в Центре загрузки Майкрософт?
Корпорация Майкрософт выпускает обновление только для участников Lync 2010 (установка уровня пользователя) только в Центре загрузки Майкрософт. Так как установка на уровне пользователя Lync 2010 Attendee обрабатывается через сеанс Lync, методы распространения, такие как автоматическое обновление, не подходят для этого типа установки.
Сведения об уязвимостях
Уязвимость RCE компонента графики Windows — CVE-2016-3393
Уязвимость удаленного выполнения кода существует из-за того, что компонент GDI Windows обрабатывает объекты в памяти. Злоумышленник, который успешно воспользовался этой уязвимостью, может контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Существует несколько способов, которым злоумышленник может воспользоваться этой уязвимостью:
- В сценарии атаки на веб-основе злоумышленник может разместить специально созданный веб-сайт, предназначенный для использования этой уязвимости, а затем убедить пользователя просмотреть веб-сайт. Злоумышленнику не удастся заставить пользователей просматривать управляемое злоумышленником содержимое. Вместо этого злоумышленнику придется убедить пользователей принять меры, как правило, путем получения им ссылки в сообщении электронной почты или в сообщении мгновенных сообщений, которое принимает пользователей на веб-сайт злоумышленника или открыв вложение, отправленное по электронной почте.
- В сценарии атаки общего доступа к файлам злоумышленник может предоставить специально созданный файл документа, предназначенный для использования этой уязвимости, а затем убедить пользователя открыть файл документа.
Обновление безопасности устраняет уязвимость, исправляя, как GDI Windows обрабатывает объекты в памяти.
В следующей таблице содержится ссылка на стандартную запись уязвимости в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Использованы |
|---|---|---|---|
| Уязвимость выполнения удаленного кода GDI+ | CVE-2016-3393 | No | Да |
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Уязвимость выполнения удаленного кода GDI+ — CVE-2016-3396
Уязвимость удаленного выполнения кода существует, когда библиотека шрифтов Windows неправильно обрабатывает специально созданные внедренные шрифты. Злоумышленник, который успешно использует эту уязвимость, может контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Злоумышленник может использовать уязвимость несколькими способами:
- В сценарии атаки на основе веб-сайта злоумышленник может разместить специально созданный веб-сайт, предназначенный для использования уязвимости, а затем убедить пользователей просматривать веб-сайт. Злоумышленнику не удастся заставить пользователей просматривать управляемое злоумышленником содержимое. Вместо этого злоумышленнику придется убедить пользователей принять меры, как правило, щелкнув ссылку в сообщении электронной почты или мгновенных сообщений Messenger, которые отправляют пользователей на веб-сайт злоумышленника или открыв вложение, отправленное по электронной почте.
- В сценарии атаки общего доступа к файлам злоумышленник может предоставить специально созданный файл документа, предназначенный для использования уязвимости, а затем убедить пользователей открыть файл документа. Обновление безопасности устраняет уязвимость, исправляя способ обработки внедренных шрифтов в библиотеке шрифтов Windows.
В таблице "Оценки серьезности уязвимостей и программного обеспечения" для Microsoft Office панель предварительной версии является вектором атаки для CVE-2016-3396. Обновление безопасности устраняет уязвимость, исправляя способ обработки внедренных шрифтов в библиотеке шрифтов Windows.
В следующей таблице содержится ссылка на стандартную запись уязвимости в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Использованы |
|---|---|---|---|
| Уязвимость выполнения удаленного кода GDI+ | CVE-2016-3396 | No | No |
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Несколько уязвимостей раскрытия информации GDI+
Несколько уязвимостей раскрытия информации существуют таким образом, чтобы интерфейс графических устройств Windows (GDI) обрабатывал объекты в памяти, позволяя злоумышленнику получать информацию из целевой системы. Злоумышленник, который успешно воспользовался этими уязвимостями, может использовать полученную информацию для обхода случайности макета адресного пространства (ASLR) в Windows, что помогает защититься от широкого класса уязвимостей. По себе раскрытие информации не допускает произвольного выполнения кода; однако они могут разрешить произвольный код выполняться, если злоумышленник использует один в сочетании с другой уязвимостью, например уязвимость удаленного выполнения кода, которая может использовать обход ASLR.
Чтобы использовать эти уязвимости, злоумышленнику придется войти в затронутую систему и запустить специально созданное приложение.
Обновление безопасности устраняет уязвимости и помогает защитить целостность функции безопасности ASLR, исправив способ обработки адресов памяти GDI.
В следующей таблице содержатся ссылки на стандартную запись для уязвимостей в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Использованы |
|---|---|---|---|
| Уязвимость GDI+Раскрытие информации | CVE-2016-3209 | No | No |
| Уязвимость GDI+Раскрытие информации | CVE-2016-3262 | No | No |
| Уязвимость GDI+Раскрытие информации | CVE-2016-3263 | No | No |
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этих уязвимостей.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этих уязвимостей.
Ошибка синтаксического анализа шрифта true type — CVE-2016-7182
Уязвимость с повышением привилегий существует, когда компонент графики Windows неправильно обрабатывает объекты в памяти. Злоумышленник, который успешно использует эту уязвимость, может запустить произвольный код в режиме ядра. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.
Обновление устраняет уязвимость, исправляя способ обработки объектов в памяти компонента Microsoft Graphics, предотвращая непреднамеренное повышение прав пользователя.
В следующей таблице содержатся ссылки на стандартную запись уязвимости в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Использованы |
|---|---|---|---|
| Синтаксический анализ шрифта true type с повышением привилегий | CVE-2016-7182 | No | No |
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Уязвимость Win32k для повышения привилегий — CVE-2016-3270
Уязвимость с повышением привилегий существует в Windows, когда ядро Windows не может правильно обрабатывать объекты в памяти. Злоумышленник, успешно использующий эту уязвимость, может запустить произвольный код в режиме ядра. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.
Чтобы воспользоваться этой уязвимостью, злоумышленнику сначала придется войти в систему. Затем злоумышленник может запустить специально созданное приложение, которое может использовать уязвимость и взять под контроль затронутую систему.
Обновление устраняет эту уязвимость, исправляя способ обработки объектов в памяти ядра Windows.
В следующей таблице содержатся ссылки на стандартную запись уязвимости в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Использованы |
|---|---|---|---|
| Уязвимость Win32K с повышением привилегий | CVE-2016-3270 | No | No |
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Развертывание обновлений безопасности
Сведения о развертывании обновлений безопасности см. в статье базы знаний Майкрософт, на которую ссылается сводка по исполнительному руководству.
Благодарности
Корпорация Майкрософт признает усилия тех, кто в сообществе безопасности помогает нам защитить клиентов с помощью скоординированного раскрытия уязвимостей. Дополнительные сведения см . в подтверждениях .
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
V1.0 (11 октября 2016 г.): Бюллетень опубликован.
Версия 1.1 (8 ноября 2016 г.): измените бюллетень, чтобы объявить об изменении обнаружения для устранения проблемы в замене, в частности в средах WSUS, где различные обновления, применимые к Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1), были неправильно помечены как заменяемые. Это только изменение обнаружения. Не было изменений в файлах обновления. Клиенты, которые уже успешно установили обновление, не должны предпринимать никаких действий.
Версия 2.0 (13 декабря 2016 г.): измененный бюллетень для объявления следующих обновлений был повторно обновлен с изменением обнаружения, которое устраняет проблему замены, которую некоторые клиенты испытали при попытке установить обновления только для системы безопасности октября.
- Обновление системы безопасности 3192391 для всех поддерживаемых выпусков Windows 7 и Windows Server 2008 R2. Дополнительные сведения см. в статье базы знаний Майкрософт 3192391.
- Обновление системы безопасности 3192393 для Windows Server 2012. Дополнительные сведения см. в статье базы знаний Майкрософт 3192393.
- Обновление системы безопасности 3192392 для Windows 8.1 и Windows Server 2012 R2. Дополнительные сведения см. в статье базы знаний Майкрософт 3192392.
Это только изменения обнаружения. Не было изменений в файлах обновления. Клиенты, которые уже успешно установили любой из этих обновлений, не должны предпринимать никаких действий. Дополнительные сведения см. в статье базы знаний Майкрософт для соответствующего обновления.
Страница создана 2017-02-08 09:03-08:00.