Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Накопительное обновление безопасности для Microsoft Edge (3142019)
Опубликовано: 8 марта 2016 г.
Версия: 1.0
Краткий обзор
Это обновление безопасности устраняет уязвимости в Microsoft Edge. Наиболее серьезные уязвимости могут разрешить удаленное выполнение кода, если пользователь просматривает специально созданную веб-страницу с помощью Microsoft Edge. Злоумышленник, который успешно воспользовался уязвимостями, может получить те же права пользователя, что и текущий пользователь. Клиенты, учетные записи которых настроены на меньше прав пользователей в системе, могут быть менее затронуты, чем те, кто работает с правами администратора.
Это обновление системы безопасности имеет критически важное значение для Microsoft Edge в Windows 10. Дополнительные сведения см. в разделе "Затронутая программа ".
Обновление устраняет уязвимость, выполнив следующие действия.
- Изменение того, как Microsoft Edge обрабатывает объекты в памяти
- Изменение того, как Microsoft Edge обрабатывает политику ссылок
Дополнительные сведения об уязвимости см. в разделе "Сведения об уязвимостях".
Дополнительные сведения об этом обновлении см . в статье базы знаний Майкрософт 3142019.
Затронутого программного обеспечения
Затронуты следующие версии программного обеспечения или выпуски. Версии или выпуски, не перечисленные в списке, были в прошлом жизненном цикле поддержки или не затронуты. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
| Операционная система | Компонент | Максимальное влияние на безопасность | Оценка серьезности агрегата | Обновления заменено |
|---|---|---|---|---|
| Microsoft Edge | ||||
| Windows 10 для 32-разрядных систем[1](3140745) | Microsoft Edge | Удаленное выполнение кода | Критически важно | 3135174 |
| Windows 10 для систем на основе x64[1](3140745) | Microsoft Edge | Удаленное выполнение кода | Критически важно | 3135174 |
| Windows 10 версии 1511 для 32-разрядных систем[1](3140768) | Microsoft Edge | Удаленное выполнение кода | Критически важно | 3140743 |
| Windows 10 версии 1511 для систем на основе x64[1](3140768) | Microsoft Edge | Удаленное выполнение кода | Критически важно | 3140743 |
[1]Обновления Windows 10 являются накопительными. Помимо обновлений, не относящихся к безопасности, они также содержат все исправления безопасности для всех уязвимостей, затронутых Windows 10, с ежемесячным выпуском безопасности. Обновления доступны через каталог Центра обновления Майкрософт.
Обратите внимание, что windows Server Technical Preview 4 затронут. Клиентам, работающим с этими операционными системами, рекомендуется применить обновление, которое доступно через Обновл. Windows.
Вопросы и ответы по обновлению
Содержит ли это обновление дополнительные изменения в функциональных возможностях, связанных с безопасностью?
Помимо изменений, перечисленных для уязвимостей, описанных в этом бюллетене, это обновление включает в себя подробные обновления для улучшения функций, связанных с безопасностью.
Оценки серьезности и идентификаторы уязвимостей
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска бюллетеня по безопасности, о эксплойтации уязвимости по отношению к его оценке серьезности и влиянию на безопасность, см. в сводке бюллетеня по эксплуатируемости в марте.
Где указано в таблице "Оценки серьезности" и "Влияние", "Критические", "Важные" и "Умеренные" значения указывают на оценки серьезности. Дополнительные сведения см. в статье "Система оценки серьезности бюллетеня безопасности". Чтобы указать максимальное влияние, обратитесь к следующему ключу для аббревиаций, используемых в таблице:
| Сокращение | Максимальное влияние |
|---|---|
| RCE | Удаленное выполнение кода |
| Eop | Несанкционированное получение привилегий |
| Идентификатор | Раскрытие информации |
| SFB | Обход компонентов безопасности |
| Оценки серьезности уязвимостей и влияние | ||
|---|---|---|
| Номер CVE | Заголовок уязвимости | Microsoft Edge |
| CVE-2016-0102 | Уязвимость с повреждением памяти браузера Майкрософт | Критически важные клиенты Windows / серверы RCE Windows: умеренный / RCE |
| CVE-2016-0105 | Уязвимость с повреждением памяти браузера Майкрософт | Критически важные клиенты Windows / серверы RCE Windows: умеренный / RCE |
| CVE-2016-0109 | Уязвимость с повреждением памяти браузера Майкрософт | Критически важные клиенты Windows / серверы RCE Windows: умеренный / RCE |
| CVE-2016-0110 | Уязвимость с повреждением памяти браузера Майкрософт | Критически важные клиенты Windows / серверы RCE Windows: умеренный / RCE |
| CVE-2016-0111 | Уязвимость с повреждением памяти браузера Майкрософт | Критически важные клиенты Windows / серверы RCE Windows: умеренный / RCE |
| CVE-2016-0116 | Уязвимость к повреждению памяти Microsoft Edge | Критически важные клиенты Windows / RCE (Windows 10 не затронуты)Серверы Windows: умеренный / RCE |
| CVE-2016-0123 | Уязвимость к повреждению памяти Microsoft Edge | Критически важные клиенты Windows / серверы RCE Windows: умеренный / RCE |
| CVE-2016-0124 | Уязвимость к повреждению памяти Microsoft Edge | Критически важные клиенты Windows / RCE (Windows 10 версии 1511 не затронуты) Серверы Windows: умеренный / RCE |
| CVE-2016-0125 | Уязвимость в раскрытии информации Microsoft Edge | Клиенты Windows Умеренные и идентификаторы серверов Windows: низкий / идентификатор |
| CVE-2016-0129 | Уязвимость к повреждению памяти Microsoft Edge | Критически важные клиенты Windows / RCE (Windows 10 не затронуты)Серверы Windows: умеренный / RCE |
| CVE-2016-0130 | Уязвимость к повреждению памяти Microsoft Edge | Критически важные клиенты Windows / серверы RCE Windows: умеренный / RCE |
Сведения об уязвимостях
Несколько уязвимостей в памяти Microsoft Edge
Существует несколько уязвимостей удаленного выполнения кода, когда Microsoft Edge неправильно обращается к объектам в памяти. Уязвимости могут повредить память таким образом, чтобы злоумышленник мог выполнять произвольный код в контексте текущего пользователя.
Злоумышленник может разместить специально созданный веб-сайт, предназначенный для использования уязвимостей через Microsoft Edge, а затем убедить пользователя просмотреть веб-сайт. Злоумышленник также может воспользоваться скомпрометированных веб-сайтов и веб-сайтов, которые принимают или размещают содержимое или рекламу, добавляя специально созданное содержимое, которое может использовать уязвимость. Однако во всех случаях злоумышленник не сможет заставить пользователей просматривать управляемое злоумышленником содержимое. Вместо этого злоумышленнику придется убедить пользователей принять меры, как правило, путем соблазна в сообщении электронной почты или мгновенных сообщений Messenger или путем открытия вложения, отправленного по электронной почте.
Злоумышленник, который успешно воспользовался уязвимостями, может получить те же права пользователя, что и текущий пользователь. Если текущий пользователь вошел в систему с правами администратора, злоумышленник, который успешно воспользовался уязвимостями, может контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Обновление устраняет уязвимость, изменив способ обработки объектов в памяти Microsoft Edge.
В следующей таблице содержатся ссылки на стандартную запись для каждой уязвимости в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Использованы |
|---|---|---|---|
| Уязвимость с повреждением памяти браузера Майкрософт | CVE-2016-0102 | No | No |
| Уязвимость с повреждением памяти браузера Майкрософт | CVE-2016-0105 | No | No |
| Уязвимость с повреждением памяти браузера Майкрософт | CVE-2016-0109 | No | No |
| Уязвимость с повреждением памяти браузера Майкрософт | CVE-2016-0110 | No | No |
| Уязвимость с повреждением памяти браузера Майкрософт | CVE-2016-0111 | No | No |
| Уязвимость к повреждению памяти Microsoft Edge | CVE-2016-0116 | No | No |
| Уязвимость к повреждению памяти Microsoft Edge | CVE-2016-0123 | No | No |
| Уязвимость к повреждению памяти Microsoft Edge | CVE-2016-0124 | No | No |
| Уязвимость к повреждению памяти Microsoft Edge | CVE-2016-0129 | No | No |
| Уязвимость к повреждению памяти Microsoft Edge | CVE-2016-0130 | No | No |
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этих уязвимостей.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этих уязвимостей.
Уязвимость раскрытия информации Microsoft Edge — CVE-2016-0125
Уязвимость раскрытия информации существует, когда Microsoft Edge неправильно обрабатывает политику ссылок. Злоумышленник, который успешно воспользовался уязвимостью, может получить сведения о контексте запроса или журнале просмотра пользователя.
Чтобы воспользоваться уязвимостью, злоумышленник должен убедить пользователя, который обращается к защищенному веб-сайту, чтобы щелкнуть ссылку, которая принимает пользователя на вредоносный веб-сайт. Обновление устраняет уязвимость, изменив способ обработки политики ссылок Microsoft Edge.
В следующей таблице содержатся ссылки на стандартную запись для каждой уязвимости в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Использованы |
|---|---|---|---|
| Уязвимость в раскрытии информации Microsoft Edge | CVE-2016-0125 | No | No |
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Развертывание обновлений безопасности
Сведения о развертывании обновлений системы безопасности см. в статье базы знаний Майкрософт, на которую ссылается сводка руководства.
Благодарности
Корпорация Майкрософт признает усилия тех, кто в сообществе безопасности помогает нам защитить клиентов с помощью скоординированного раскрытия уязвимостей. Дополнительные сведения см . в подтверждениях .
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (8 марта 2016 г.): Бюллетень опубликован.
Страница создана 2016-03-08 08:49-08:00.