MSRC ppDocument 模板

Microsoft 安全公告 MS15-130 - 严重

用于修复远程执行代码漏洞的 Microsoft Uniscribe 安全更新程序 (3108670)

发布日期:2015 年 12 月 8 日

版本: 1.0

执行摘要

此安全更新程序修复了 Microsoft Windows 中的一个漏洞。如果用户打开经特殊设计的文档或访问包含经特殊设计的字体的不受信任网页,那么此漏洞可能允许远程执行代码。

对于所有受支持的 Windows 7 和 Windows Server 2008 R2 版本,此安全更新程序的等级为“严重”。有关详细信息,请参阅受影响的软件部分。

此安全更新程序通过更正 Windows 分析字体的方式来修复此漏洞。有关此漏洞的详细信息,请参阅漏洞信息部分。

有关此更新程序的详细信息,请参阅 Microsoft 知识库文章 3108670

受影响的软件和漏洞严重等级

以下软件版本都受到影响。未列出的版本要么是支持生命周期已结束,要么是不受影响。若要确定软件版本的支持生命周期,请参阅 Microsoft 支持生命周期

以下严重等级假设漏洞可能造成最大影响。若要了解在此安全公告发布 30 天内漏洞被利用的可能性(相对于安全等级和安全影响),请参阅 12 月公告摘要中的利用指数。

**按受影响的软件列出的漏洞严重等级和最大安全影响**
**操作系统** [**Windows 整数下溢漏洞 – CVE-2015-6130**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-6130) **替代的更新程序**\*
**Windows 7**
[Windows 7(用于 32 位系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=c3a31a90-3082-4d4f-9a8b-255398cd5e69) (3108670) **严重** 远程执行代码 [MS14-036](https://technet.microsoft.com/zh-cn/library/security/ms14-036) 中的 2957509
[Windows 7(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=58c5d78d-5125-4e59-b9a0-b749f2871407) (3108670) **严重** 远程执行代码 [MS14-036](https://technet.microsoft.com/zh-cn/library/security/ms14-036) 中的 2957509
**Windows Server 2008 R2**
[Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=3364836f-3275-4ab1-aecc-79a25c08e9e2) (3108670) **严重** 远程执行代码 [MS14-036](https://technet.microsoft.com/zh-cn/library/security/ms14-036) 中的 2957509
[Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=f5b982bd-de83-4ff2-9203-f29489bd3f26) (3108670) **严重** 远程执行代码 [MS14-036](https://technet.microsoft.com/zh-cn/library/security/ms14-036) 中的 2957509
**服务器核心安装选项**
[Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=3364836f-3275-4ab1-aecc-79a25c08e9e2)(服务器核心安装) (3108670) **严重** 远程执行代码 [MS14-036](https://technet.microsoft.com/zh-cn/library/security/ms14-036) 中的 2957509

*“替代的更新程序”列仅显示一系列被取代的更新程序中最新的更新程序。有关替代的更新程序的完整列表,请转到 Microsoft 更新目录,搜索更新程序知识库文章编号,然后查看更新程序详细信息(替代的更新程序信息位于“程序包详细信息”选项卡中)。

漏洞信息

Windows 整数下溢漏洞 – CVE-2015-6130

当 Windows Uniscribe 不正确地分析经特殊设计的字体时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

攻击者可能通过多种方式利用此漏洞,包括诱使用户打开经特殊设计的文档或访问包含嵌入字体的不受信任的网页。此安全更新程序通过更正 Windows 分析字体的方式来修复此漏洞。

Microsoft 通过协调漏洞披露渠道了解到此漏洞的相关信息。当此安全公告最初发布时,Microsoft 尚未收到关于尝试利用此漏洞进行攻击的报告。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

安全更新程序部署

有关安全更新程序部署信息,请参阅此处引用的 Microsoft 知识库文章(在“执行摘要”中)。

鸣谢

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢部分。

免责声明

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

  • V1.0(2015 年 12 月 8 日):公告已发布。

页面生成时间:2015-12-01 11:31-08:00。