Microsoft 安全公告 MS16-044 - 重要

Windows OLE 安全更新程序 (3146706)

发布日期： 2016 年 4 月 12 日

版本： 1.0

执行摘要

此安全更新程序修复了 Microsoft Windows 中的一个漏洞。当 Windows OLE 无法正确验证用户输入时，此漏洞可能允许远程执行代码。攻击者可以利用此漏洞以执行恶意代码。但是，攻击者必须首先诱使用户在网页或电子邮件中打开经特殊设计的文件或程序。

对于 Microsoft Windows 的所有受支持版本（Windows 10 除外），此安全更新程序的等级为“重要”。有关详细信息，请参阅受影响的软件部分。

此安全更新程序通过更正 Windows OLE 验证用户输入的方式来修复此漏洞。有关此漏洞的详细信息，请参阅漏洞信息部分。

有关此更新程序的详细信息，请参阅 Microsoft 知识库文章 3146706。

受影响的软件和漏洞严重等级

以下软件版本都受到影响。未列出的版本要么是支持生命周期已结束，要么是不受影响。若要确定软件版本的支持生命周期，请参阅 Microsoft 支持生命周期。

针对每个受影响的软件标记的严重等级假设漏洞可能造成最大影响。若要了解在此安全公告发布 30 天内漏洞被利用的可能性（相对于安全等级和安全影响），请参阅 4 月份公告摘要中的利用指数。

操作系统	[Windows OLE 远程执行代码漏洞 - CVE-2016-0153](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0153)	替代的更新程序*
Windows Vista
[Windows Vista Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=7de1ca80-5bbc-4509-a0dc-e126835e03a5) (3146706)	重要远程执行代码	[MS16-031](https://technet.microsoft.com/zh-cn/library/security/ms16-031) 中的 3140410
[Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=73cb613f-c6cf-4bc4-beff-235b490afe92) (3146706)	重要远程执行代码	[MS16-031](https://technet.microsoft.com/zh-cn/library/security/ms16-031) 中的 3140410
Windows Server 2008
[Windows Server 2008（用于 32 位系统）Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=c8f53bce-a8a4-4f85-aab1-2acf9208bb6e) (3146706)	重要远程执行代码	[MS16-031](https://technet.microsoft.com/zh-cn/library/security/ms16-031) 中的 3140410
[Windows Server 2008（用于基于 x64 的系统）Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=951c6726-b21d-4953-89a6-5250b5a6b697) (3146706)	重要远程执行代码	[MS16-031](https://technet.microsoft.com/zh-cn/library/security/ms16-031) 中的 3140410
[Windows Server 2008（用于基于 Itanium 的系统）Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=1f041105-d28f-4316-ba0d-4260adbd3440) (3146706)	重要远程执行代码	[MS16-031](https://technet.microsoft.com/zh-cn/library/security/ms16-031) 中的 3140410
Windows 7
[Windows 7（用于 32 位系统）Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=5fc9613f-422e-404d-a475-e62fbb3b3eea) (3146706)	重要远程执行代码	[MS16-031](https://technet.microsoft.com/zh-cn/library/security/ms16-031) 中的 3140410
[Windows 7（用于基于 x64 的系统）Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=4ff2bb5d-94d9-4be7-b603-f705394bb477) (3146706)	重要远程执行代码	[MS16-031](https://technet.microsoft.com/zh-cn/library/security/ms16-031) 中的 3140410
Windows Server 2008 R2
[Windows Server 2008 R2（用于基于 x64 的系统）Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=68848c96-0e17-4683-b705-96fc986a071d) (3146706)	重要远程执行代码	[MS16-031](https://technet.microsoft.com/zh-cn/library/security/ms16-031) 中的 3140410
[Windows Server 2008 R2（用于基于 Itanium 的系统）Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=6da7a62c-cd52-4cba-9620-5318a1b66d08) (3146706)	重要远程执行代码	[MS16-031](https://technet.microsoft.com/zh-cn/library/security/ms16-031) 中的 3140410
Windows 8.1
[Windows 8.1（用于 32 位系统）](https://www.microsoft.com/download/details.aspx?familyid=64597f87-654d-4418-89be-f312cd181ced) (3146706)	重要远程执行代码	[MS15-075](https://technet.microsoft.com/zh-cn/library/security/ms15-075) 中的 3072633
[Windows 8.1（用于基于 x64 的系统）](https://www.microsoft.com/download/details.aspx?familyid=f65dc611-c553-4855-8483-aa7e9e7d3de7) (3146706)	重要远程执行代码	[MS15-075](https://technet.microsoft.com/zh-cn/library/security/ms15-075) 中的 3072633
Windows Server 2012 和 Windows Server 2012 R2
[Windows Server 2012](https://www.microsoft.com/download/details.aspx?familyid=d61841a6-1694-4a5b-8de0-a0a5a223d329) (3146706)	重要远程执行代码	[MS15-075](https://technet.microsoft.com/zh-cn/library/security/ms15-075) 中的 3072633
[Windows Server 2012 R2](https://www.microsoft.com/download/details.aspx?familyid=5d5a264a-f5a3-45fc-aa1d-ddd6a82718e0) (3146706)	重要远程执行代码	[MS15-075](https://technet.microsoft.com/zh-cn/library/security/ms15-075) 中的 3072633
Windows RT 8.1
Windows RT 8.1^[1] (3146706)	重要远程执行代码	[MS15-075](https://technet.microsoft.com/zh-cn/library/security/ms15-075) 中的 3072633
服务器核心安装选项
[Windows Server 2008（用于 32 位系统）Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=c8f53bce-a8a4-4f85-aab1-2acf9208bb6e)（服务器核心安装） (3146706)	重要远程执行代码	[MS16-031](https://technet.microsoft.com/zh-cn/library/security/ms16-031) 中的 3140410
[Windows Server 2008（用于基于 x64 的系统）Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=951c6726-b21d-4953-89a6-5250b5a6b697)（服务器核心安装） (3146706)	重要远程执行代码	[MS16-031](https://technet.microsoft.com/zh-cn/library/security/ms16-031) 中的 3140410
[Windows Server 2008 R2（用于基于 x64 的系统）Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=68848c96-0e17-4683-b705-96fc986a071d)（服务器核心安装） (3146706)	重要远程执行代码	[MS16-031](https://technet.microsoft.com/zh-cn/library/security/ms16-031) 中的 3140410
[Windows Server 2012](https://www.microsoft.com/download/details.aspx?familyid=d61841a6-1694-4a5b-8de0-a0a5a223d329)（服务器核心安装） (3146706)	重要远程执行代码	[MS15-075](https://technet.microsoft.com/zh-cn/library/security/ms15-075) 中的 3072633
[Windows Server 2012 R2](https://www.microsoft.com/download/details.aspx?familyid=5d5a264a-f5a3-45fc-aa1d-ddd6a82718e0)（服务器核心安装） (3146706)	重要远程执行代码	[MS15-075](https://technet.microsoft.com/zh-cn/library/security/ms15-075) 中的 3072633

^[1]此更新程序通过 Windows 更新提供。

*“替代的更新程序”列仅显示任一系列被取代的更新程序中最新的更新程序。有关替代的更新程序的完整列表，请转到 Microsoft 更新目录，搜索更新程序知识库文章编号，然后查看更新程序详细信息（替代的更新程序信息位于“程序包详细信息”选项卡中）。

漏洞信息

Windows OLE 远程执行代码漏洞 - CVE-2016-0153

当 Microsoft Windows OLE 无法正确验证用户输入时，存在一个远程执行代码漏洞。攻击者可以利用此漏洞以执行恶意代码。

要利用此漏洞，攻击者必须诱使用户在网页或电子邮件中打开经特殊设计的文件或程序。此更新通过更正 Windows OLE 验证用户输入的方式来解决漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接：

漏洞标题	CVE 编号	已公开披露	已被利用
Windows OLE 远程执行代码漏洞	CVE-2016-0153	否	否

### 缓解因素 Microsoft 并未发现此漏洞的任何[缓解因素](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 ### 变通办法 Microsoft 尚未对此漏洞确认任何[变通办法](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。安全更新程序部署 ---------------- 有关安全更新程序部署信息，请参阅[此处](#kbarticle)引用的 Microsoft 知识库文章（在“执行摘要”中）。鸣谢 ---- Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息，请参阅[鸣谢](https://technet.microsoft.com/zh-cn/library/security/mt674627.aspx)部分。免责声明 -------- Microsoft 知识库中的信息“按原样”提供，没有任何形式的担保。 Microsoft 不作任何明示或暗示保证，包括对适销性和针对特定用途的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害（包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害）承担任何责任，即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任，因此上述限制可能不适用。修订版本 -------- - V1.0（2016 年 4 月 12 日）：公告已发布。 *页面生成时间：2016-04-05 10:08-07:00。*