Microsoft 安全公告 MS16-117 - 关键

  • 项目

Adobe Flash Player (3188128) 安全更新

发布日期:2016 年 9 月 13 日

版本: 1.0

执行摘要

此安全更新可解决所有受支持的 Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1 和 Windows 10上安装的 Adobe Flash Player 中的漏洞。

此安全更新的评级为“严重”。 此更新通过更新 Internet Explorer 10、Internet Explorer 11 和 Microsoft Edge 中包含的受影响的 Adobe Flash 库来解决 Adobe Flash Player 中的漏洞。 有关详细信息,请参阅 受影响的软件 部分。

有关此更新的详细信息,请参阅 Microsoft 知识库文章3188128

漏洞信息

此安全更新可解决 Adobe 安全公告 APSB16-29 中所述的以下漏洞:

CVE-2016-4271、CVE-2016-4272、CVE-2016-4274、CVE-2016-4275、CVE-2016-4276、CVE-2016-4277、 CVE-2016-4278、CVE-2016-4279、CVE-2016-4280、CVE-2016-4281、CVE-2016-4282、CVE-2016-4283、CVE-2016-4284、 CVE-2016-4285、CVE-2016-4287、CVE-2016-6921、CVE-2016-6922、CVE-2016-6923、CVE-2016-6924、CVE-2016-6925、CVE-2016-6926、CVE-2016-6927、CVE-2016-6929、CVE-2016-6930、CVE-2016-6931、CVE-2016-6932

受影响的软件

以下软件版本会受到影响。 未列出的一个或多个版本已超过其支持生命周期或不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期

操作系统 组件 聚合严重性和影响 已替换汇报*
Windows 8.1
适用于 32 位系统的Windows 8.1 Adobe Flash Player (3188128) 关键 远程代码执行 MS16-093 中的3174060
适用于基于 x64 的系统Windows 8.1 Adobe Flash Player (3188128) 关键 远程代码执行 MS16-093 中的3174060
Windows Server 2012 和 Windows Server 2012 R2
Windows Server 2012 Adobe Flash Player (3188128) 温和 远程代码执行 MS16-093 中的3174060
Windows Server 2012 R2 Adobe Flash Player (3188128) 温和 远程代码执行 MS16-093 中的3174060
Windows RT 8.1
Windows RT 8.1 Adobe Flash Player (3188128) [1] 关键 远程代码执行 MS16-093 中的3174060
Windows 10
适用于 32 位系统的Windows 10 Adobe Flash Player (3188128) [2] 关键 远程代码执行 MS16-093 中的3174060
适用于基于 x64 的系统Windows 10 Adobe Flash Player (3188128) [2] 关键 远程代码执行 MS16-093 中的3174060
适用于 32 位系统的 Windows 10 版本 1511 Adobe Flash Player (3188128) [2] 关键 远程代码执行 MS16-093 中的3174060
Windows 10版本 1511(适用于基于 x64 的系统) Adobe Flash Player (3188128) [2] 关键 远程代码执行 MS16-093 中的3174060
适用于 32 位系统的 Windows 10 版本 1607 Adobe Flash Player (3188128) [2] 关键 远程代码执行
Windows 10版本 1607(适用于基于 x64 的系统) Adobe Flash Player (3188128) [2] 关键 远程代码执行

[1]此更新可通过Windows 更新获取。

[2]Windows 10更新的 Adobe FlashPlayer 更新可通过Windows 更新Microsoft 更新目录获取。

注意此公告中讨论的漏洞会影响 Windows Server 2016 Technical Preview 5。 为了防范漏洞,Microsoft 建议运行此操作系统的客户应用当前更新,该更新仅可从 Windows 更新获取。

*“替换汇报”列仅显示任何被取代的更新链中的最新更新。 有关替换的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库号,然后查看更新详细信息, (“包详细信息”选项卡上) 提供的更新替换信息。

常见问题

攻击者如何利用这些漏洞?
在用户使用适用于桌面版的 Internet Explorer的基于 Web 的攻击方案中,攻击者可以托管一个专门设计的网站,该网站旨在通过 Internet Explorer 利用其中任何漏洞,然后诱使用户查看该网站。 攻击者还可以在托管 IE 呈现引擎的应用程序或 Microsoft Office 文档中嵌入标记为“安全初始化”的 ActiveX 控件。 攻击者还可能利用受入侵的网站和接受或托管用户提供的内容或广告的网站。 这些网站可能包含可能利用其中任何漏洞的特制内容。 但是,在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。 相反,攻击者必须说服用户采取措施,通常是单击电子邮件或将用户带到攻击者网站的即时消息中的链接,或者打开通过电子邮件发送的附件。

在基于 Web 的攻击方案中,用户在 Windows 8 样式 UI 中使用 Internet Explorer 时,攻击者首先需要破坏兼容性视图 (CV) 列表中已列出的网站。 然后,攻击者可能会托管一个网站,其中包含旨在通过 Internet Explorer 利用这些漏洞的特制 Flash 内容,然后说服用户查看该网站。 攻击者无法强制用户查看攻击者控制的内容。 相反,攻击者必须说服用户采取措施,通常是单击电子邮件或将用户带到攻击者网站的即时消息中的链接,或者打开通过电子邮件发送的附件。 有关 Internet Explorer 和 CV 列表的详细信息,请参阅 MSDN 文章, 即 Windows 8 中包含 Adobe Flash Player 内容的网站的开发人员指南

缓解因素

缓解是指一种设置、常见配置或一般最佳做法,存在于默认状态,可降低利用漏洞的严重性。 以下缓解因素可能对你的情况有所帮助:

  • 在用户使用 适用于桌面版的 Internet Explorer 的基于 Web 的攻击方案中,攻击者可能托管一个网站,其中包含用于利用任何这些漏洞的网页。 此外,接受或托管用户提供的内容或广告的被入侵网站和网站可能包含可能利用其中任何漏洞的特制内容。 但是,在所有情况下,攻击者都无法强制用户访问这些网站。 相反,攻击者必须说服用户访问网站,通常是通过让用户单击电子邮件或即时消息中的链接,将用户带到攻击者的网站。
  • Windows 8 样式 UI 中的 Internet Explorer 将仅播放来自兼容性视图 (CV) 列表中列出的站点的 Flash 内容。 此限制要求攻击者首先入侵 CV 列表中已列出的网站。 然后,攻击者可以托管旨在通过 Internet Explorer 利用这些漏洞的特制 Flash 内容,然后说服用户查看网站。 攻击者无法强制用户查看攻击者控制的内容。 相反,攻击者必须说服用户采取行动,通常通过单击电子邮件或将用户转到攻击者网站的 Instant Messenger 消息中的链接,或者打开通过电子邮件发送的附件。
  • 默认情况下,所有受支持的 Microsoft Outlook 和 Windows Live Mail 版本都会在“受限网站”区域中打开 HTML 电子邮件。 “受限站点”区域禁用脚本和 ActiveX 控件,有助于降低攻击者能够利用这些漏洞执行恶意代码的风险。 如果用户单击电子邮件中的链接,则用户仍可能容易受到通过基于 Web 的攻击方案利用这些漏洞。
  • 默认情况下,Windows Server 2012 和 Windows Server 2012 R2 上的 Internet Explorer 在受限模式下运行,即增强 的安全配置。 此模式有助于减少在 Internet Explorer 中利用这些 Adobe Flash Player 漏洞的可能性。

解决方法

解决方法是指在应用更新之前帮助阻止已知攻击途径的设置或配置更改。

  • 阻止 Adobe Flash Player 运行

    可以通过在注册表中设置控件的终止位,禁用在 Internet Explorer 和其他支持终止位功能的应用程序(如 Office 2007 和 Office 2010)中实例化 Adobe Flash Player 的尝试。

    警告 如果注册表编辑器使用不当,可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 不保证可以解决因注册表编辑器使用不当而造成的问题。 请慎用注册表编辑器,风险自负。

    若要在注册表中设置控件的终止位,请执行以下步骤:

    1. 将以下内容粘贴到文本文件中,并使用 .reg 文件扩展名保存它。

          Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400

    2. 双击 .reg 文件以将其应用于单个系统。 还可以使用 组策略 跨域应用此解决方法。 有关组策略的详细信息,请参阅 TechNet 文章组策略集合

    注意 必须重启 Internet Explorer 才能使更改生效。

    解决方法的影响。 只要对象不打算在 Internet Explorer 中使用,就没有影响。

    如何撤消解决方法。 删除在实现此解决方法时添加的注册表项。

  • 通过组策略阻止 Adobe Flash Player 在 Internet Explorer 中运行

    注意组策略 MMC 管理单元可用于为计算机、组织单位或整个域设置策略。 有关组策略的详细信息,请访问以下 Microsoft 网站:

    组策略概述

    什么是组策略对象编辑器?

    核心组策略工具和设置

    若要通过组策略在 Internet Explorer 中禁用 Adobe Flash Player,请执行以下步骤:

    注意 此解决方法不会阻止从其他应用程序(如 Microsoft Office 2007 或 Microsoft Office 2010)调用 Flash。

    1. 打开组策略管理控制台,并将控制台配置为使用相应的组策略对象,例如本地计算机、OU 或域 GPO。
    2. 导航到以下节点: 管理模板 ->Windows 组件 ->Internet Explorer ->安全功能 ->加载项管理
    3. 双击“ 在 Internet Explorer 中关闭 Adobe Flash”,并阻止应用程序使用 Internet Explorer 技术来实例化 Flash 对象
    4. 将设置更改为“已启用”。
    5. 单击“应用”,然后单击“确定”返回到组策略管理控制台。
    6. 在所有系统上刷新组策略,或等待下一个计划的组策略刷新间隔,以便设置生效。

  • 阻止 Adobe Flash Player 在受影响的系统上的 Office 2010 中运行

    注意 此解决方法不会阻止 Adobe Flash Player 在 Internet Explorer 中运行。

    警告 如果注册表编辑器使用不当,可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 不保证可以解决因注册表编辑器使用不当而造成的问题。 请慎用注册表编辑器,风险自负。

    有关可用于阻止控件在 Internet Explorer 中运行的详细步骤,请参阅 Microsoft 知识库文章240797。 按照文章中的步骤在注册表中创建兼容性标志值,以防止 COM 对象在 Internet Explorer 中实例化。

    若要仅在 Office 2010 中禁用 Adobe Flash Player,请使用以下步骤在注册表中为 Adobe Flash Player 设置 ActiveX 控件的终止位:

    1. 创建包含以下内容的名为 Disable_Flash.reg 的文本文件:

          Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400

    2. 双击 .reg 文件以将其应用于单个系统。

    3. 注意 必须重启 Internet Explorer 才能使更改生效。

      还可以使用 组策略 跨域应用此解决方法。 有关组策略的详细信息,请参阅 TechNet 文章组策略集合

 

  • 阻止 ActiveX 控件在 Office 2007 和 Office 2010 中运行

    若要禁用 Microsoft Office 2007 和 Microsoft Office 2010 中的所有 ActiveX 控件,包括 Internet Explorer 中的 Adobe Flash Player,请执行以下步骤:

    1. 依次单击“ 文件”、“ 选项”、“ 信任中心”和“ 信任中心设置”。
    2. 单击左侧窗格中的“ ActiveX 设置” ,然后选择“ 禁用所有控件,而不通知”。
    3. 单击“确定” 保存设置。

    解决方法的影响。 使用嵌入式 ActiveX 控件的 Office 文档可能不会按预期显示。

    如何撤消解决方法。

    若要在 Microsoft Office 2007 和 Microsoft Office 2010 中重新启用 ActiveX 控件,请执行以下步骤:

    1. 依次单击“ 文件”、“ 选项”、“ 信任中心”和“ 信任中心设置”。
    2. 单击左侧窗格中的“ ActiveX 设置” ,然后取消选择 “禁用所有控件而不通知”。
    3. 单击“确定” 保存设置。

 

  • 将 Internet 和本地 Intranet 安全区域设置设置为“高”,以阻止这些区域中的 ActiveX 控件和活动脚本

    可以通过更改 Internet 安全区域的设置来阻止 ActiveX 控件和活动脚本,帮助防止利用这些漏洞。 可以通过将浏览器安全性设置为“高”来执行此操作。

    若要在 Internet Explorer 中提高浏览安全级别,请执行以下步骤:

    1. 在“Internet Explorer 工具 ”菜单上,单击“ Internet 选项”。
    2. “Internet 选项 ”对话框中,单击“ 安全 ”选项卡,然后单击“ Internet”。
    3. “此区域的安全级别”下,将滑块移动到“ ”。 这会将你访问的所有网站的安全级别设置为“高”。
    4. 单击“ 本地 Intranet”。
    5. “此区域的安全级别”下,将滑块移动到“ ”。 这会将你访问的所有网站的安全级别设置为“高”。
    6. 单击“ 确定 ”接受更改并返回到 Internet Explorer。

    注意 如果没有滑块可见,请单击“ 默认级别”,然后将滑块移动到“ ”。

    注意 将级别设置为“高”可能会导致某些网站无法正常工作。 如果在更改此设置后使用网站时遇到困难,并且确信该网站是安全的,则可以将该网站添加到受信任的站点列表中。 这样,即使安全设置设置为“高”,站点也能正常运行。

    解决方法的影响。 阻止 ActiveX 控件和活动脚本会产生副作用。 Internet 或 Intranet 上的许多网站使用 ActiveX 或 Active Scripting 来提供其他功能。 例如,在线电子商务网站或银行网站可以使用 ActiveX 控件来提供菜单、订购表单甚至帐户对账单。 阻止 ActiveX 控件或活动脚本是影响所有 Internet 和 Intranet 站点的全局设置。 如果不想阻止此类站点的 ActiveX 控件或活动脚本,请使用“将信任的站点添加到 Internet Explorer 受信任的站点区域”中所述的步骤。

  • 将 Internet Explorer 配置为在运行活动脚本之前进行提示,或者在 Internet 和本地 Intranet 安全区域中禁用活动脚本

    可以通过在运行活动脚本之前将设置更改为提示,或者在 Internet 和本地 Intranet 安全区域中禁用活动脚本,来帮助防止这些漏洞被利用。 为此,请执行下列步骤:

    1. 在 Internet Explorer 中,单击“工具”菜单上的“Internet 选项”。
    2. 单击“安全”选项卡。
    3. 单击“ Internet”,然后单击“ 自定义级别”。
    4. “设置”下的 “脚本编写 ”部分的“ 活动脚本”下,单击“提示”或“ 禁用”,然后单击“ 确定”。
    5. 单击“ 本地 Intranet”,然后单击“ 自定义级别”。
    6. “设置”下的 “脚本编写 ”部分的“ 活动脚本”下,单击“提示”或“ 禁用”,然后单击“ 确定”。
    7. 单击“ 确定 ”返回到 Internet Explorer,然后再次单击“ 确定 ”。

    注意 在 Internet 和本地 Intranet 安全区域中禁用活动脚本可能会导致某些网站无法正常工作。 如果在更改此设置后使用网站时遇到困难,并且确信该网站是安全的,则可以将该网站添加到受信任的站点列表中。 这将允许网站正常工作。

    解决方法的影响。 在运行活动脚本之前提示存在副作用。 Internet 或 Intranet 上的许多网站使用活动脚本来提供其他功能。 例如,在线电子商务网站或银行网站可以使用活动脚本来提供菜单、订购表单甚至帐户对账单。 运行活动脚本前的提示是影响所有 Internet 和 Intranet 站点的全局设置。 启用此解决方法时,系统会频繁提示你。 对于每个提示,如果你认为信任正在访问的站点,请单击“ ”运行活动脚本。 如果不希望系统提示输入所有这些站点,请使用“将信任的站点添加到 Internet Explorer 受信任的站点区域”中所述的步骤。

  • 将信任的站点添加到 Internet Explorer 受信任的站点区域

    将 Internet Explorer 设置为在 Internet 区域和本地 Intranet 区域中运行 ActiveX 控件和活动脚本之前需要提示后,可以将信任的站点添加到 Internet Explorer 受信任的站点区域。 这将使你能够像现在一样继续使用受信任的网站,同时帮助保护你免受针对不受信任站点的这种攻击。 建议仅将信任的站点添加到“受信任的站点”区域。

    为此,请执行下列步骤:

    1. 在 Internet Explorer 中,依次单击“ 工具”、“ Internet 选项”和“ 安全 ”选项卡。
    2. “选择 Web 内容区域以指定其当前安全设置 ”框中,单击“ 受信任的站点”,然后单击“ 站点”。
    3. 如果要添加不需要加密通道的站点,请单击以清除“要求对此区域中所有站点进行服务器验证 (https:) ”框检查。
    4. “将此网站添加到区域 ”框中,键入信任的站点的 URL,然后单击“ 添加”。
    5. 对要添加到区域的每个站点重复这些步骤。
    6. 单击 “确定” 两次接受更改并返回到 Internet Explorer。

    注意 添加任何你信任的站点,这些站点不会对系统执行恶意操作。 特别要添加的两个网站是 *.windowsupdate.microsoft.com*.update.microsoft.com。 这些站点将托管更新,需要 ActiveX 控件才能安装更新。

安全更新部署

有关安全更新部署的信息,请参阅执行摘要中引用的 Microsoft 知识库文章。

致谢

Microsoft 认可安全社区中那些通过协调漏洞披露帮助我们保护客户的人所做的努力。 有关详细信息 ,请参阅确认

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不承担所有明示或默示的担保,包括适销性和针对特定用途的适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商均不对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商已被告知发生此类损害的可能性。 某些州不允许排除或限制后果性或附带损害的责任,因此上述限制可能不适用。

修订

  • V1.0 (2016 年 9 月 13 日) :公告已发布。

页面生成:2016-09-12 09:56-07:00。