Microsoft 安全公告 MS16-038 - 严重

Microsoft Edge 累积安全更新程序 (3148532)

发布日期： 2016 年 4 月 12 日

版本： 1.0

执行摘要

此安全更新程序修复了 Microsoft Edge 中的多个漏洞。如果用户使用 Microsoft Edge 查看经特殊设计的网页，那么其中最严重的漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

对于 Windows 10 上的 Microsoft Edge，此安全更新程序的等级为“严重”。有关详细信息，请参阅受影响的软件部分。

此更新修复漏洞的方式如下：

修改 Microsoft Edge 处理内存对象的方式。
确保在 Microsoft Edge 中正确实施跨域策略。

有关此漏洞的详细信息，请参阅漏洞信息部分。

有关此更新程序的详细信息，请参阅 Microsoft 知识库文章 3148532。

受影响的软件

以下软件版本都受到影响。未列出的版本要么是支持生命周期已结束，要么是不受影响。若要确定软件版本的支持生命周期，请参阅 Microsoft 支持生命周期。

操作系统	组件	最大安全影响	综合严重等级	替代的更新程序
Microsoft Edge
[Windows 10（用于 32 位系统）](https://support.microsoft.com/zh-cn/kb/3147461)^[1] (3147461)	Microsoft Edge	远程执行代码	严重	[3140745](https://support.microsoft.com/zh-cn/kb/3140745)
[Windows 10（用于基于 x64 的系统）](https://support.microsoft.com/zh-cn/kb/3147461)^[1] (3147461)	Microsoft Edge	远程执行代码	严重	[3140745](https://support.microsoft.com/zh-cn/kb/3140745)
[Windows 10 版本 1511（用于 32 位系统）](https://support.microsoft.com/zh-cn/kb/3147458)^[1] (3147458)	Microsoft Edge	远程执行代码	严重	[3140768](https://support.microsoft.com/zh-cn/kb/3140768)
[Windows 10 版本 1511（用于基于 x64 的系统）](https://support.microsoft.com/zh-cn/kb/3147458)^[1] (3147458)	Microsoft Edge	远程执行代码	严重	[3140768](https://support.microsoft.com/zh-cn/kb/3140768)

^[1]Windows 10 更新程序是累积更新。除非安全更新程序外，每月安全发布还包括用于影响 Windows 10 的漏洞的所有安全修补程序。您可以通过 Microsoft 更新目录获取这些更新程序。

注意 Windows Server 2016 Technical Preview 4 和 Windows Server 2016 Technical Preview 5 均会受到影响。我们建议运行这些操作系统的客户应用此更新程序（可通过 Windows 更新获取此更新程序）。

更新程序 FAQ

此更新程序是否包含其他任何与安全相关的功能更改？
除了针对本公告中所述漏洞列出的更改之外，此更新程序还包括纵深防御更新程序，可帮助改进与安全相关的功能。

严重等级和漏洞标识符

以下严重等级假设漏洞可能造成最大影响。有关此安全公告发布 30 天内，漏洞利用的安全等级和安全影响的可能性的信息，请参阅 4 月份公告摘要中的利用指数。

按照“严重等级和影响”表中的规定，“严重”、“重要”和“中等”值表示严重等级。有关详细信息，请参阅安全公告严重等级评定系统。请参阅表中用来指明最大影响的以下缩写关键词：

缩写	最大影响
RCE	远程执行代码
EoP	特权提升
ID	信息泄漏
SFB	安全功能绕过

漏洞严重等级和影响
CVE 编号	漏洞标题	Microsoft Edge
[CVE-2016-0154](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0154)	Microsoft 浏览器内存损坏漏洞	Windows 客户端：严重/RCE Windows 服务器：中等/RCE
[CVE-2016-0155](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0155)	Microsoft Edge 内存损坏漏洞	Windows 客户端：严重/RCE （仅 Windows 10 版本 1511 受影响） Windows 服务器：中等/RCE
[CVE-2016-0156](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0156)	Microsoft Edge 内存损坏漏洞	Windows 客户端：严重/RCE Windows 服务器：中等/RCE
[CVE-2016-0157](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0157)	Microsoft Edge 内存损坏漏洞	Windows 客户端：严重/RCE Windows 服务器：中等/RCE
[CVE-2016-0158](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0158)	Microsoft Edge 特权提升漏洞	Windows 客户端：重要/EoP Windows 服务器：中等/EoP
[CVE-2016-0161](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0162)	Microsoft Edge 特权提升漏洞	Windows 客户端：中等/EoP Windows 服务器：低/EoP

漏洞信息

多个 Microsoft Edge 内存损坏漏洞

如果 Microsoft Edge 访问内存对象不当，就会存在多个远程执行代码漏洞。这些漏洞可能会损坏内存，并允许攻击者在当前用户的上下文中执行任意代码。

攻击者可能会托管一个旨在通过 Microsoft Edge 利用这些漏洞的经特殊设计的网站，然后诱使用户查看此网站。攻击者还可能会利用被入侵的网站以及接受或托管用户提供的内容或广告的网站，添加可利用此漏洞的经特殊设计的内容。不过，在任何情况下，攻击者都无法强制用户查看由攻击者控制的内容。相反，攻击者需要诱使用户执行操作，方法通常是通过电子邮件或即时消息进行诱骗，或者诱使用户打开通过电子邮件发送的附件。

成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录，那么攻击者便可完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。此更新通过修改 Microsoft Edge 处理内存中对象的方式来解决漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接：

漏洞标题	CVE 编号	已公开披露	已被利用
Microsoft 浏览器内存损坏漏洞	CVE-2016-0154	否	否
Microsoft Edge 内存损坏漏洞	CVE-2016-0155	否	否
Microsoft Edge 内存损坏漏洞	CVE-2016-0156	否	否
Microsoft Edge 内存损坏漏洞	CVE-2016-0157	否	否

### 缓解因素 Microsoft 并未发现这些漏洞的任何[缓解因素](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 ### 变通办法 Microsoft 并未发现这些漏洞的任何[变通办法](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 Microsoft Edge 特权提升 - CVE-2016-0158 --------------------------------------- 当 Microsoft Edge 不正确地强制实施跨域策略时会存在特权提升漏洞，可能允许攻击者访问某个域中信息并将其插入其他域。在基于 Web 的攻击情形中，攻击者可能拥有一个网站以试图利用此漏洞。另外，受到破坏的网站以及接受或托管用户提供的内容的网站可能包含可利用此漏洞的经特殊设计的内容。不过，在所有情况下，攻击者都无法强制用户查看由攻击者控制的内容。相反，攻击者需要诱使用户执行操作。例如，攻击者可能哄骗用户单击指向攻击者网站的链接。成功利用此漏洞的攻击者可以在受影响的 Microsoft Edge 版本中提升特权。此漏洞本身不允许运行任意代码。但是，此漏洞可能与在运行任意代码时攻击者利用提升特权的另一漏洞（例如，远程执行代码漏洞）结合使用。例如，攻击者可以利用另一个漏洞以通过 Microsoft Edge 运行任意代码，但是由于 Microsoft Edge 启动的进程的上下文，代码可能被限制为在较低的完整性级别（权限非常有限）运行。但是，攻击者随后可能利用此漏洞导致任意代码在中等完整性级别（当前用户的权限）运行。此更新通过帮助确保在 Microsoft Edge 中正确实施跨域策略来解决漏洞。下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接：

漏洞标题	CVE 编号	已公开披露	已被利用
Microsoft Edge 特权提升漏洞	CVE-2016-0158	否	否

### 缓解因素 Microsoft 并未发现此漏洞的任何[缓解因素](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 ### 变通办法 Microsoft 尚未对此漏洞确认任何[变通办法](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 Microsoft Edge 特权提升漏洞 - CVE-2016-0161 ------------------------------------------- 当 Microsoft Edge 在特定条件下未正确验证 JavaScript 时会存在特权提升漏洞，可能允许使用提升特权运行脚本。在基于 Web 的攻击情形中，攻击者可能拥有一个网站以试图利用此漏洞。另外，受到破坏的网站以及接受或托管用户提供的内容的网站可能包含可利用此漏洞的经特殊设计的内容。不过，在所有情况下，攻击者无法强制用户查看由攻击者控制的内容。相反，攻击者需要诱使用户执行操作。例如，攻击者可以诱骗用户单击链接转到攻击者的网站。成功利用此漏洞的攻击者可以在受影响的 Microsoft Edge 版本中提升特权。攻击者随后可将这些特权与另一个漏洞一起用于通过中等完整性级别特权（当前用户的权限）运行任意代码。此漏洞本身不允许运行任意代码。但是，此漏洞可能与在运行任意代码时利用提升特权的另一漏洞（例如，远程执行代码漏洞）结合使用。例如，攻击者可以利用另一个漏洞以通过 Microsoft Edge 运行任意代码，但是由于 Internet Explorer 启动的进程的上下文，代码可能被限制为在较低的完整性级别（权限非常有限）运行。但是，攻击者随后可能利用此漏洞导致任意代码在中等完整性级别（当前用户的权限）运行。该更新通过向 Microsoft Edge 添加附加权限验证来解决漏洞。下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接：

漏洞标题	CVE 编号	已公开披露	已被利用
Microsoft Edge 特权提升漏洞	CVE-2016-0161	否	否

### 缓解因素 Microsoft 并未发现此漏洞的任何[缓解因素](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 ### 变通办法 Microsoft 尚未对此漏洞确认任何[变通办法](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。安全更新程序部署 ---------------- 有关安全更新程序部署信息，请参阅[此处](#kbarticle)引用的 Microsoft 知识库文章（在“执行摘要”中）。鸣谢 ---- Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息，请参阅[鸣谢](https://technet.microsoft.com/zh-cn/library/security/mt674627.aspx)部分。免责声明 -------- Microsoft 知识库中的信息“按原样”提供，没有任何形式的担保。 Microsoft 不作任何明示或暗示保证，包括对适销性和针对特定用途的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害（包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害）承担任何责任，即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任，因此上述限制可能不适用。修订版本 -------- - V1.0（2016 年 4 月 12 日）：公告已发布。 *页面生成时间：2016-04-06 09:52-07:00。*