Microsoft 安全公告 MS16-065 - 重要

.NET Framework 的安全更新程序 (3156757)

发布日期:2016 年 5 月 10 日

版本: 1.0

执行摘要

此安全更新程序可修复 Microsoft .NET Framework 中的一个漏洞。如果攻击者将未加密的数据插入目标安全通道,然后在目标客户端和合法的服务器之间执行中间人 (MiTM) 攻击,该漏洞可能导致信息泄漏。

对于受影响的 Microsoft Windows 版本上的 Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4.5.2、Microsoft .NET Framework 4.6 和 Microsoft .NET Framework 4.6.1,此安全更新程序的等级为“重要”。有关详细信息,请参阅受影响的软件部分。

该安全更新通过修改 .NET 加密组件发送和接收经过加密的网络数据包的方式来修复此漏洞。有关此漏洞的详细信息,请参阅漏洞信息部分。

有关此更新程序的详细信息,请参阅 Microsoft 知识库文章 3156757

受影响的软件和漏洞严重等级

以下软件版本都受到影响。未列出的版本要么是支持生命周期已结束,要么是不受影响。若要确定软件版本的支持生命周期,请参阅 Microsoft 支持生命周期

针对每个受影响的软件标记的严重等级假设漏洞可能造成的最大影响。若要了解在此安全公告发布 30 天内漏洞被利用的可能性(相对于安全等级和安全影响),请参阅 5 月份公告摘要中的利用指数。

**操作系统** **组件** [**TLS/SSL 信息泄漏漏洞 - CVE-2016-0149**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0149) **替代的更新程序**
**Windows Vista**
Windows Vista Service Pack 2 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/downloads/details.aspx?familyid=76aad4f4-34b0-4f90-81c2-26d1275a6cb1) (3142023) **重要** 信息泄漏
Windows Vista Service Pack 2 [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=cd711144-c95e-4a08-baa0-09dc1d65f57a)[1] (3142033) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2972107
Windows Vista Service Pack 2 [Microsoft .NET Framework 4.6](https://www.microsoft.com/downloads/details.aspx?familyid=01690bdc-f88c-4997-9383-41b273476639)[1] (3142037) **重要** 信息泄漏
Windows Vista x64 Edition Service Pack 2 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/downloads/details.aspx?familyid=76aad4f4-34b0-4f90-81c2-26d1275a6cb1) (3142023) **重要** 信息泄漏
Windows Vista x64 Edition Service Pack 2 [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=cd711144-c95e-4a08-baa0-09dc1d65f57a)[1] (3142033) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2972107
Windows Vista x64 Edition Service Pack 2 [Microsoft .NET Framework 4.6](https://www.microsoft.com/downloads/details.aspx?familyid=01690bdc-f88c-4997-9383-41b273476639)[1] (3142037) **重要** 信息泄漏
**Windows Server 2008**
Windows Server 2008(用于 32 位系统)Service Pack 2 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/downloads/details.aspx?familyid=76aad4f4-34b0-4f90-81c2-26d1275a6cb1) (3142023) **重要** 信息泄漏
Windows Server 2008(用于 32 位系统)Service Pack 2 [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=cd711144-c95e-4a08-baa0-09dc1d65f57a)[1] (3142033) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2972107
Windows Server 2008(用于 32 位系统)Service Pack 2 [Microsoft .NET Framework 4.6](https://www.microsoft.com/downloads/details.aspx?familyid=01690bdc-f88c-4997-9383-41b273476639)[1] (3142037) **重要** 信息泄漏
Windows Server 2008(用于基于 x64 的系统)Service Pack 2 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/downloads/details.aspx?familyid=76aad4f4-34b0-4f90-81c2-26d1275a6cb1) (3142023) **重要** 信息泄漏
Windows Server 2008(用于基于 x64 的系统)Service Pack 2 [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=cd711144-c95e-4a08-baa0-09dc1d65f57a)[1] (3142033) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2972107
Windows Server 2008(用于基于 x64 的系统)Service Pack 2 [Microsoft .NET Framework 4.6](https://www.microsoft.com/downloads/details.aspx?familyid=01690bdc-f88c-4997-9383-41b273476639)[1] (3142037) **重要** 信息泄漏
Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/downloads/details.aspx?familyid=76aad4f4-34b0-4f90-81c2-26d1275a6cb1) (3142023) **重要** 信息泄漏
**Windows 7**
Windows 7(用于 32 位系统)Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/downloads/details.aspx?familyid=f4bd9640-f2f5-4510-9a1e-935eee95414c) (3142024) **重要** 信息泄漏
Windows 7(用于 32 位系统)Service Pack 1 [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=cd711144-c95e-4a08-baa0-09dc1d65f57a)[1] (3142033) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2972107
Windows 7(用于 32 位系统)Service Pack 1 [Microsoft .NET Framework 4.6/4.6.1](https://www.microsoft.com/downloads/details.aspx?familyid=01690bdc-f88c-4997-9383-41b273476639)[1] (3142037) **重要** 信息泄漏
Windows 7(用于基于 x64 的系统)Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/downloads/details.aspx?familyid=f4bd9640-f2f5-4510-9a1e-935eee95414c) (3142024) **重要** 信息泄漏
Windows 7(用于基于 x64 的系统)Service Pack 1 [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=cd711144-c95e-4a08-baa0-09dc1d65f57a)[1] (3142033) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2972107
Windows 7(用于基于 x64 的系统)Service Pack 1 [Microsoft .NET Framework 4.6/4.6.1](https://www.microsoft.com/downloads/details.aspx?familyid=01690bdc-f88c-4997-9383-41b273476639)[1] (3142037) **重要** 信息泄漏
**Windows Server 2008 R2**
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/downloads/details.aspx?familyid=f4bd9640-f2f5-4510-9a1e-935eee95414c) (3142024) **重要** 信息泄漏
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=cd711144-c95e-4a08-baa0-09dc1d65f57a)[1] (3142033) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2972107
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 [Microsoft .NET Framework 4.6/4.6.1](https://www.microsoft.com/downloads/details.aspx?familyid=01690bdc-f88c-4997-9383-41b273476639)[1] (3142037) **重要** 信息泄漏
Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/downloads/details.aspx?familyid=f4bd9640-f2f5-4510-9a1e-935eee95414c) (3142024) **重要** 信息泄漏
**Windows 8.1**
Windows 8.1(用于 32 位系统) [Microsoft .NET Framework 3.5](https://www.microsoft.com/downloads/details.aspx?familyid=e2027350-fb9c-4f7e-92f8-5c48cde471bb) (3142026) **重要** 信息泄漏
Windows 8.1(用于 32 位系统) [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=b1045ebd-be10-4d7f-8953-6a24a99ab938)[1] (3142030) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2978041
Windows 8.1(用于 32 位系统) [Microsoft .NET Framework 4.6/4.6.1](https://www.microsoft.com/downloads/details.aspx?familyid=356d1027-92cd-42a3-816b-a5d757445480)[1] (3142036) **重要** 信息泄漏
Windows 8.1(用于基于 x64 的系统) [Microsoft .NET Framework 3.5](https://www.microsoft.com/downloads/details.aspx?familyid=e2027350-fb9c-4f7e-92f8-5c48cde471bb) (3142026) **重要** 信息泄漏
Windows 8.1(用于基于 x64 的系统) [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=b1045ebd-be10-4d7f-8953-6a24a99ab938)[1] (3142030) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2978041
Windows 8.1(用于基于 x64 的系统) [Microsoft .NET Framework 4.6/4.6.1](https://www.microsoft.com/downloads/details.aspx?familyid=356d1027-92cd-42a3-816b-a5d757445480)[1] (3142036) **重要** 信息泄漏
**Windows Server 2012 和 Windows Server 2012 R2**
Windows Server 2012 [Microsoft .NET Framework 3.5](https://www.microsoft.com/downloads/details.aspx?familyid=af916e33-3355-4162-825d-1d84e9198b1b) (3142025) **重要** 信息泄漏
Windows Server 2012 [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=41cbcfd9-ebde-4565-856f-d1bf73ea2ca4)[1] (3142032) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2978042
Windows Server 2012 [Microsoft .NET Framework 4.6/4.6.1](https://www.microsoft.com/downloads/details.aspx?familyid=a51422ea-3234-4e4d-a502-761a11ce84d4)[1] (3142035) **重要** 信息泄漏
Windows Server 2012 R2 [Microsoft .NET Framework 3.5](https://www.microsoft.com/downloads/details.aspx?familyid=e2027350-fb9c-4f7e-92f8-5c48cde471bb) (3142026) **重要** 信息泄漏
Windows Server 2012 R2 [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=b1045ebd-be10-4d7f-8953-6a24a99ab938)[1] (3142030) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2978041
Windows Server 2012 R2 [Microsoft .NET Framework 4.6/4.6.1](https://www.microsoft.com/downloads/details.aspx?familyid=356d1027-92cd-42a3-816b-a5d757445480)[1] (3142036) **重要** 信息泄漏
**Windows RT 8.1**
Windows RT 8.1 Microsoft .NET Framework 4.5.2[1][2] (3142030) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2978041
Windows RT 8.1 Microsoft .NET Framework 4.6/4.6.1[1][2] (3142036) **重要** 信息泄漏
**Windows 10**
[Windows 10(用于 32 位系统)](https://support.microsoft.com/zh-cn/kb/3156387)[3] (3156387) Microsoft .NET Framework 3.5 **重要** 信息泄漏 [3147458](https://support.microsoft.com/zh-cn/kb/3147458)
[Windows 10(用于 32 位系统)](https://support.microsoft.com/zh-cn/kb/3156387)[3] (3156387) Microsoft .NET Framework 4.6 **重要** 信息泄漏 [3147458](https://support.microsoft.com/zh-cn/kb/3147458)
[Windows 10(用于基于 x64 的系统)](https://support.microsoft.com/zh-cn/kb/3156387)[3] (3156387) Microsoft .NET Framework 3.5 **重要** 信息泄漏 [3147458](https://support.microsoft.com/zh-cn/kb/3147458)
[Windows 10(用于基于 x64 的系统)](https://support.microsoft.com/zh-cn/kb/3156387)[3] (3156387) Microsoft .NET Framework 4.6 **重要** 信息泄漏 [3147458](https://support.microsoft.com/zh-cn/kb/3147458)
[Windows 10 版本 1511(用于 32 位系统)](https://support.microsoft.com/zh-cn/kb/3156421)[2] (3156421) Microsoft .NET Framework 3.5 **重要** 信息泄漏 [3140768](https://support.microsoft.com/zh-cn/kb/3140768)
[Windows 10 版本 1511(用于 32 位系统)](https://support.microsoft.com/zh-cn/kb/3156421)[2] (3156421) Microsoft .NET Framework 4.6.1 **重要** 信息泄漏 [3140768](https://support.microsoft.com/zh-cn/kb/3140768)
[Windows 10 版本 1511(用于基于 x64 的系统)](https://support.microsoft.com/zh-cn/kb/3156421)[2] (3156421) Microsoft .NET Framework 3.5 **重要** 信息泄漏 [3140768](https://support.microsoft.com/zh-cn/kb/3140768)
[Windows 10 版本 1511(用于基于 x64 的系统)](https://support.microsoft.com/zh-cn/kb/3156421)[2] (3156421) Microsoft .NET Framework 4.6.1 **重要** 信息泄漏 [3140768](https://support.microsoft.com/zh-cn/kb/3140768)
**服务器核心安装选项**
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装) [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/downloads/details.aspx?familyid=f4bd9640-f2f5-4510-9a1e-935eee95414c) (3142024) **重要** 信息泄漏
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装) [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=cd711144-c95e-4a08-baa0-09dc1d65f57a)[1] (3142033) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2972107
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装) [Microsoft .NET Framework 4.6/4.6.1](https://www.microsoft.com/downloads/details.aspx?familyid=01690bdc-f88c-4997-9383-41b273476639)[1] (3142037) **重要** 信息泄漏
Windows Server 2012(服务器核心安装) [Microsoft .NET Framework 3.5](https://www.microsoft.com/downloads/details.aspx?familyid=af916e33-3355-4162-825d-1d84e9198b1b) (3142025) **重要** 信息泄漏
Windows Server 2012(服务器核心安装) [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=41cbcfd9-ebde-4565-856f-d1bf73ea2ca4)[1] (3142032) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2978042
Windows Server 2012(服务器核心安装) [Microsoft .NET Framework 4.6/4.6.1](https://www.microsoft.com/downloads/details.aspx?familyid=a51422ea-3234-4e4d-a502-761a11ce84d4)[1] (3142035) **重要** 信息泄漏
Windows Server 2012 R2(服务器核心安装) [Microsoft .NET Framework 3.5](https://www.microsoft.com/downloads/details.aspx?familyid=e2027350-fb9c-4f7e-92f8-5c48cde471bb) (3142026) **重要** 信息泄漏
Windows Server 2012 R2(服务器核心安装) [Microsoft .NET Framework 4.5.2](https://www.microsoft.com/downloads/details.aspx?familyid=b1045ebd-be10-4d7f-8953-6a24a99ab938)[1] (3142030) **重要** 信息泄漏 [MS14-057](https://technet.microsoft.com/zh-cn/library/security/ms14-057) 中的 2978041
Windows Server 2012 R2(服务器核心安装) [Microsoft .NET Framework 4.6/4.6.1](https://www.microsoft.com/downloads/details.aspx?familyid=356d1027-92cd-42a3-816b-a5d757445480)[1] (3142036) **重要** 信息泄漏

[1]若要了解 NET Framework 4.x 支持变更,请参阅 Internet Explorer 和 .NET Framework 4.x 支持公告

[2]您可以通过 Windows 更新获取适用于 Windows RT 8.1 的更新程序。

[3]Windows 10 更新程序是累积更新。除非安全更新程序外,每月安全发布还包括用于影响 Windows 10 的漏洞的所有安全修补程序。您可以通过 Microsoft 更新目录获取这些更新程序。

注意 Windows Server 2016 Technical Preview 5 受到影响。我们建议运行此操作系统的客户应用此更新程序(可通过 Windows 更新获取此更新程序)。

漏洞信息

TLS/SSL 信息泄漏漏洞 - CVE-2016-0149

在 Microsoft.NET Framework 的加密组件中实现的 TLS/SSL 协议中存在一个信息泄漏漏洞。成功利用此漏洞的攻击者可以对加密的 SSL/TLS 通信进行解密。

要利用此漏洞,攻击者首先必须将未加密的数据插入安全通道,然后在目标客户端和合法的服务器之间执行中间人 (MiTM) 攻击。该更新通过修改 .NET 加密组件发送和接收经过加密的网络数据包的方式来修复此漏洞。

重要提示 Microsoft 建议客户先下载可用更新并在受控/托管环境中进行测试,然后在生产环境中部署。

如果遇到应用程序兼容性问题,建议的方法是确保服务器和客户端终结点正确实现 TLS RFC,并可以在此更新后解释分别包含 1、n-1 字节的两个拆分记录。有关更多信息和开发人员指导,请参阅 Microsoft 知识库文章 3155464

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接:

漏洞标题

CVE 编号

公开披露

已被利用

TLS/SSL 信息泄漏漏洞

CVE-2016-0149

### 缓解因素 以下[缓解因素](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)在您遇到的情形中可能会有所帮助: 已启用 TLS1.2 的客户不受影响。有关更多信息和开发人员指导,请参阅 [Microsoft 知识库文章 3155464](https://support.microsoft.com/zh-cn/kb/3155464)。 ### 变通办法 Microsoft 尚未对此漏洞确认任何[变通办法](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 安全更新程序部署 ---------------- 有关安全更新程序部署信息,请参阅执行摘要中[此处](#kbarticle)引用的 Microsoft 知识库文章。 鸣谢 ---- Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅[鸣谢](https://technet.microsoft.com/zh-cn/library/security/mt674627.aspx)部分。 免责声明 -------- Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定用途的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。 修订版本 -------- - V1.0(2016 年 5 月 10 日):公告已发布。 *页面生成时间:2016-05-04 15:19-07:00。*