MSRC ppDocument 模板
Microsoft 安全公告 MS16-052 - 严重
Microsoft Edge 累积安全更新程序 (3155538)
发布日期:2016 年 5 月 10 日
版本: 1.0
执行摘要
此安全更新程序修复了 Microsoft Edge 中的多个漏洞。如果用户使用 Microsoft Edge 查看经特殊设计的网页,那么其中最严重的漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。与拥有管理用户权限的客户相比,帐户被配置为拥有较少系统用户权限的客户受到的影响更小。
对于 Windows 10 上的 Microsoft Edge,此安全更新程序的等级为“严重”。有关详细信息,请参阅受影响的软件部分。
此更新通过修改 Microsoft Edge 处理内存中对象的方式来修复这些漏洞。有关这些漏洞的详细信息,请参阅漏洞信息部分。
有关此更新程序的详细信息,请参阅 Microsoft 知识库文章 3155538。
受影响的软件
以下软件版本都受到影响。未列出的版本要么是支持生命周期已结束,要么是不受影响。若要确定软件版本的支持生命周期,请参阅 Microsoft 支持生命周期。
| **操作系统** | **组件** | **最大安全影响** | **综合严重等级** | **替代的更新程序** |
| **Microsoft Edge** | ||||
| [Windows 10(用于 32 位系统)](https://support.microsoft.com/zh-cn/kb/3156387)[1] (3156387) | Microsoft Edge | 远程执行代码 | 严重 | [3147461](https://support.microsoft.com/zh-cn/kb/3147461) |
| [Windows 10(用于基于 x64 的系统)](https://support.microsoft.com/zh-cn/kb/3156387)[1] (3156387) | Microsoft Edge | 远程执行代码 | 严重 | [3147461](https://support.microsoft.com/zh-cn/kb/3147461) |
| [Windows 10 版本 1511(用于 32 位系统)](https://support.microsoft.com/zh-cn/kb/3156421)[1] (3156421) | Microsoft Edge | 远程执行代码 | 严重 | [3147458](https://support.microsoft.com/zh-cn/kb/3147458) |
| [Windows 10 版本 1511(用于基于 x64 的系统)](https://support.microsoft.com/zh-cn/kb/3156421)[1] (3156421) | Microsoft Edge | 远程执行代码 | 严重 | [3147458](https://support.microsoft.com/zh-cn/kb/3147458) |
[1]Windows 10 更新程序是累积更新。除非安全更新程序外,每月安全发布还包括用于影响 Windows 10 的漏洞的所有安全修补程序。您可以通过 Microsoft 更新目录获取这些更新程序。
注意 Windows Server 2016 Technical Preview 5 受到影响。我们建议运行此操作系统的客户应用此更新程序(可通过 Windows 更新获取此更新程序)。
更新程序 FAQ
此更新程序是否包含其他任何与安全相关的功能更改?
除了针对本公告中所述漏洞列出的更改之外,此更新程序还包括纵深防御更新程序,可帮助改进与安全相关的功能。
严重等级和漏洞标识符
以下严重等级假设漏洞可能造成最大影响。有关此安全公告发布 30 天内,漏洞利用的严重等级和安全影响的可能性的信息,请参阅 5 月份公告摘要中的利用指数。
按照“严重等级和影响”表中的规定,“严重”、“重要”和“中等”值表示严重等级。有关详细信息,请参阅安全公告严重等级评定系统。请参阅表中用来指明最大影响的以下缩写关键词:
缩写 |
最大影响 |
RCE |
远程执行代码 |
EoP |
特权提升 |
ID |
信息泄漏 |
SFB |
绕过安全功能 |
| **漏洞严重等级和影响** | ||
| **CVE 编号** | **漏洞标题** | **Microsoft Edge** |
| [CVE-2016-0186](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0186) | 脚本引擎内存损坏漏洞 |
Windows 客户端:
**严重/RCE**
Windows 服务器: |
| [CVE-2016-0191](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0191) | 脚本引擎内存损坏漏洞 |
Windows 客户端:
**严重/RCE**
Windows 服务器: |
| [CVE-2016-0192](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0192) | Microsoft 浏览器内存损坏漏洞 |
Windows 客户端:
**严重/RCE**
Windows 服务器: |
| [CVE-2016-0193](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0193) | 脚本引擎内存损坏漏洞 |
Windows 客户端:
**严重/RCE**
Windows 服务器: |
漏洞信息
Microsoft Edge 内存损坏漏洞 – CVE-2016-0192
当 Microsoft Edge 不正确地访问内存中的对象时,存在远程执行代码漏洞。该漏洞可能以一种使攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
攻击者可能拥有一个旨在通过 Microsoft Edge 利用此漏洞的经特殊设计的网站,然后诱使用户查看该网站。攻击者还可能会利用被入侵的网站以及接受或托管用户提供的内容或广告的网站,添加可利用此漏洞的经特殊设计的内容。不过,在任何情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者需要诱使用户执行操作,方法通常是通过电子邮件或即时消息进行诱骗,或者诱使用户打开通过电子邮件发送的附件。此更新程序通过修改 Microsoft Edge 处理内存对象的方式来修复这个漏洞。
下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接:
漏洞标题 |
CVE 编号 |
公开披露 |
已被利用 |
Microsoft 浏览器内存损坏漏洞 |
否 |
否 |
漏洞标题 |
CVE 编号 |
公开披露 |
已被利用 |
脚本引擎内存损坏漏洞 |
否 |
否 |
|
脚本引擎内存损坏漏洞 |
否 |
否 |
|
脚本引擎内存损坏漏洞 |
否 |
否 |