Microsoft 安全公告 MS17-003 - 严重
Adobe Flash Player 安全更新(3214628)
发布时间: 2017 年 1 月 10 日
版本: 1.0
执行摘要
此安全更新在 Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1、Windows 10 和 Windows Server 2016 的所有受支持版本中安装时解决 Adobe Flash Player 中的漏洞。
此安全更新被评为“严重”。 此更新通过更新 Internet Explorer 10、Internet Explorer 11 和 Microsoft Edge 中包含的受影响的 Adobe Flash 库来解决 Adobe Flash Player 中的漏洞。 有关详细信息,请参阅 “受影响的软件 ”部分。
有关此更新的详细信息,请参阅 Microsoft 知识库文章3214628。
漏洞信息
此安全更新解决了 Adobe 安全公告 APSB17-02 中所述的以下漏洞:
CVE-2017-2925、CVE-2017-2926、CVE-2017-2927、CVE-2017-2928、CVE-2017-2930、 CVE-2017-2931、CVE-2017-2932、CVE-2017-2933、CVE-2017-2934、CVE-2017-2935、CVE-2017-2936、CVE-2017-2937
受影响的软件
以下软件版本或版本受到影响。 未列出的版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期。
操作系统 | 组件 | 聚合严重性和影响 | 已替换汇报* |
---|---|---|---|
Windows 8.1 | |||
适用于 32 位系统的 Windows 8.1 | Adobe Flash Player (3214628) | 关键 远程代码执行 | MS16-154 中的 3209498 |
基于 x64 的系统版 Windows 8.1 | Adobe Flash Player (3214628) | 关键 远程代码执行 | MS16-154 中的 3209498 |
Windows Server 2012 和 Windows Server 2012 R2 | |||
Windows Server 2012 | Adobe Flash Player (3214628) | 中等 远程代码执行 | MS16-154 中的 3209498 |
Windows Server 2012 R2 | Adobe Flash Player (3214628) | 中等 远程代码执行 | MS16-154 中的 3209498 |
Windows RT 8.1 | |||
Windows RT 8.1 | Adobe Flash Player (3214628)[1] | 关键 远程代码执行 | MS16-154 中的 3209498 |
Windows 10 | |||
适用于 32 位系统的 Windows 10 | Adobe Flash Player (3214628)[2] | 关键 远程代码执行 | MS16-154 中的 3209498 |
基于 x64 的系统版 Windows 10 | Adobe Flash Player (3214628)[2] | 关键 远程代码执行 | MS16-154 中的 3209498 |
适用于 32 位系统的 Windows 10 版本 1511 | Adobe Flash Player (3214628)[2] | 关键 远程代码执行 | MS16-154 中的 3209498 |
基于 x64 的系统版 Windows 10 版本 1511 | Adobe Flash Player (3214628)[2] | 关键 远程代码执行 | MS16-154 中的 3209498 |
适用于 32 位系统的 Windows 10 版本 1607 | Adobe Flash Player (3214628)[2] | 关键 远程代码执行 | MS16-154 中的 3209498 |
基于 x64 的系统版 Windows 10 版本 1607 | Adobe Flash Player (3214628)[2] | 关键 远程代码执行 | MS16-154 中的 3209498 |
Windows Server 2016 | |||
适用于 64 位系统的 Windows Server 2016 | Adobe Flash Player (3214628)[2] | 关键 远程代码执行 | MS16-154 中的 3209498 |
[1]此更新通过Windows 更新提供。
可通过Windows 更新或通过 Microsoft 更新目录获取。
*汇报替换列仅显示被取代更新链中的最新更新。 有关替换的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库(KB)编号,然后查看更新详细信息(更新替换的信息是在“程序包详细信息”选项卡上提供的)。
常见问题
攻击者如何利用这些漏洞?
在用户正在使用适用于桌面版的 Internet Explorer的基于 Web 的攻击方案中,攻击者可以托管一个专门制作的网站,该网站旨在通过 Internet Explorer 利用这些漏洞中的任何一个,然后说服用户查看网站。 攻击者还可以在托管 IE 呈现引擎的应用程序或Microsoft 办公室文档中嵌入标记为“安全初始化”的 ActiveX 控件。 攻击者还可以利用遭到入侵的网站和接受或托管用户提供的内容或广告的网站。 这些网站可以包含专门制作的内容,这些内容可能会利用这些漏洞中的任何一个。 但是,在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。 相反,攻击者必须说服用户采取行动,通常是通过单击电子邮件或即时信使消息中的链接,将用户带到攻击者的网站,或通过打开通过电子邮件发送的附件。
在基于 Web 的攻击方案中,用户在 Windows 8 样式 UI 中使用 Internet Explorer 时,攻击者首先需要入侵兼容性视图(CV)列表中已列出的网站。 然后,攻击者可以托管一个网站,其中包含专门制作的 Flash 内容,旨在通过 Internet Explorer 利用这些漏洞中的任何一个,然后说服用户查看网站。 攻击者无法强制用户查看攻击者控制的内容。 相反,攻击者必须说服用户采取行动,通常是通过单击电子邮件或即时信使消息中的链接,将用户带到攻击者的网站,或通过打开通过电子邮件发送的附件。 有关 Internet Explorer 和 CV 列表的详细信息,请参阅 MSDN 文章、 Windows 8 中 Adobe Flash Player 内容的网站的开发人员指南。
缓解因素
缓解是指在默认状态下存在的设置、常见配置或一般最佳做法,这可能会降低漏洞利用的严重性。 以下缓解因素可能对你的情况有所帮助:
- 在用户正在使用适用于桌面版的 Internet Explorer的基于 Web 的攻击方案中,攻击者可以托管包含用于利用这些漏洞的网页的网站。 此外,接受或托管用户提供的内容或广告的已泄露网站和网站可能包含利用这些漏洞的特制内容。 但是,在所有情况下,攻击者都无法强制用户访问这些网站。 相反,攻击者必须说服用户访问该网站,通常是通过让他们单击电子邮件或即时信使消息中的链接,将用户带到攻击者的网站。
- Windows 8 样式 UI 中的 Internet Explorer 将仅播放兼容性视图(CV)列表中所列网站的 Flash 内容。 此限制要求攻击者首先入侵已在 CV 列表中列出的网站。 然后,攻击者可以托管专门制作的 Flash 内容,旨在通过 Internet Explorer 利用这些漏洞中的任何一个,然后说服用户查看网站。 攻击者无法强制用户查看攻击者控制的内容。 相反,攻击者必须说服用户采取行动,通常是通过单击电子邮件或即时信使消息中的链接,将用户带到攻击者的网站,或通过打开通过电子邮件发送的附件。
- 默认情况下,所有受支持的 Microsoft Outlook 和 Windows Live Mail 版本都会在受限站点区域中打开 HTML 电子邮件。 禁用脚本和 ActiveX 控件的受限站点区域有助于降低攻击者能够使用这些漏洞执行恶意代码的风险。 如果用户单击电子邮件中的链接,则用户仍可能容易受到通过基于 Web 的攻击方案利用这些漏洞的攻击。
- 默认情况下,Windows Server 2012 和 Windows Server 2012 R2 上的 Internet Explorer 以受限模式运行,称为 增强的安全配置。 此模式有助于降低 Internet Explorer 中这些 Adobe Flash Player 漏洞被利用的可能性。
解决方法
解决方法是指在应用更新之前帮助阻止已知攻击途径的设置或配置更改。
阻止 Adobe Flash Player 运行
可以通过在注册表中设置控件的终止位位设置终止位来禁用在 Internet Explorer 中实例化 Adobe Flash Player 和其他应用程序(例如,办公室 2007 和 办公室 2010)中的尝试。警告 如果注册表编辑器不正确,可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 无法保证可以解决因注册表编辑器使用不当而造成的问题。 请慎用注册表编辑器,风险自负。
若要在注册表中设置控件的终止位,请执行以下步骤:
将以下内容粘贴到文本文件中,并使用.reg文件扩展名保存该文件。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}] "Compatibility Flags"=dword:00000400
双击.reg文件,将其应用到单个系统。 还可以使用组策略跨域应用此解决方法。 有关组策略的详细信息,请参阅 TechNet 文章“ 组策略集合”。
请注意, 必须重启 Internet Explorer 才能使更改生效。
解决方法的影响。 只要对象不打算在 Internet Explorer 中使用,就没有影响。
如何撤消解决方法。 删除在实现此解决方法时添加的注册表项。
阻止 Adobe Flash Player 通过组策略在 Internet Explorer 中运行
请注意 ,组策略 MMC 管理单元可用于为计算机、组织单位或整个域设置策略。 有关组策略的详细信息,请访问以下 Microsoft 网站:若要通过组策略在 Internet Explorer 中禁用 Adobe Flash Player,请执行以下步骤:
请注意,此解决方法不会阻止从其他应用程序(如 Microsoft 办公室 2007 或 Microsoft 办公室 2010)调用 Flash。
- 打开组策略管理控制台,并将控制台配置为使用相应的组策略对象,例如本地计算机、OU 或域 GPO。
- 导航到以下节点:管理员istrative Templates -Windows 组件 ->>Internet Explorer ->Security Features ->Add-on Management
- 双击 “在 Internet Explorer 中关闭 Adobe Flash”,并阻止应用程序使用 Internet Explorer 技术实例化 Flash 对象。
- 将设置更改为“已启用”。
- 单击“应用”,然后单击“确定”返回到组策略管理控制台。
- 在所有系统上刷新组策略,或等待下一个计划的组策略刷新间隔,使设置生效。
防止 Adobe Flash Player 在受影响系统上的 办公室 2010 中运行
请注意 ,此解决方法不会阻止 Adobe Flash Player 在 Internet Explorer 中运行。警告 如果注册表编辑器不正确,可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 无法保证可以解决因注册表编辑器使用不当而造成的问题。 请慎用注册表编辑器,风险自负。
有关可用于防止控件在 Internet Explorer 中运行的详细步骤,请参阅 Microsoft 知识库文章240797。 按照本文中的步骤在注册表中创建兼容性标志值,以防止在 Internet Explorer 中实例化 COM 对象。
若要仅在 办公室 2010 中禁用 Adobe Flash Player,请使用以下步骤在注册表中为 Adobe Flash Player 的 ActiveX 控件设置终止位:
创建包含以下内容的名为Disable_Flash.reg的文本文件:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}] "Compatibility Flags"=dword:00000400
双击.reg文件,将其应用到单个系统。
请注意, 必须重启 Internet Explorer 才能使更改生效。
还可以使用组策略跨域应用此解决方法。 有关组策略的详细信息,请参阅 TechNet 文章“ 组策略集合”。
防止 ActiveX 控件在 2007 办公室 和 办公室 2010 中运行
若要禁用 Microsoft 办公室 2007 和 Microsoft 办公室 2010 中的所有 ActiveX 控件(包括 Internet Explorer 中的 Adobe Flash Player)请执行以下步骤:- 依次单击“文件”、“选项”、“信任中心”和“信任中心”设置。
- 单击左侧窗格中的 ActiveX 设置,然后选择“禁用所有控件而不显示通知”。
- 单击确定以保存设置。
解决方法的影响。 办公室使用嵌入式 ActiveX 控件的文档可能无法按预期显示。
如何撤消解决方法。
若要在 Microsoft 办公室 2007 和 Microsoft 办公室 2010 中重新启用 ActiveX 控件,请执行以下步骤:
- 依次单击“文件”、“选项”、“信任中心”和“信任中心”设置。
- 单击左侧窗格中的 ActiveX 设置,然后取消选择“禁用所有控件而不显示通知”。
- 单击确定以保存设置。
将 Internet 和本地 Intranet 安全区域设置设置为“高”以阻止这些区域中的 ActiveX 控件和活动脚本
可以通过更改 Internet 安全区域的设置来阻止 ActiveX 控件和活动脚本,帮助防止利用这些漏洞。 可以通过将浏览器安全性设置为“高”来执行此操作。若要在 Internet Explorer 中提升浏览安全级别,请执行以下步骤:
- 在 Internet Explorer 工具菜单上,单击“Internet 选项”。
- 在 “Internet 选项 ”对话框中,单击“ 安全 ”选项卡,然后单击“ Internet”。
- 在此区域的安全级别下,将滑块移动到“高”。 这为访问“高”的所有网站设置安全级别。
- 单击“ 本地 Intranet”。
- 在此区域的安全级别下,将滑块移动到“高”。 这为访问“高”的所有网站设置安全级别。
- 单击“确定”接受更改并返回到 Internet Explorer。
请注意 ,如果没有显示滑块,请单击“ 默认级别”,然后将滑块移动到 “高”。
请注意 ,将级别设置为“高”可能会导致某些网站工作不正确。 如果在更改此设置后难以使用网站,并且确信该网站是安全的,则可以将该网站添加到受信任的网站列表中。 这样,即使安全设置设置为“高”,站点也能正常工作。
解决方法的影响。 阻止 ActiveX 控件和活动脚本会产生副作用。 Internet 或 Intranet 上的许多网站都使用 ActiveX 或 Active Scripting 来提供其他功能。 例如,在线电子商务网站或银行网站可能使用 ActiveX 控件提供菜单、订购表单,甚至帐户账单。 阻止 ActiveX 控件或活动脚本是影响所有 Internet 和 Intranet 站点的全局设置。 如果不想阻止此类网站的 ActiveX 控件或活动脚本,请使用“将信任的站点添加到 Internet Explorer 受信任站点区域”中所述的步骤。
将 Internet Explorer 配置为在运行活动脚本之前进行提示,或者在 Internet 和本地 Intranet 安全区域中禁用活动脚本
通过在运行活动脚本之前将设置更改为提示,或者在 Internet 和本地 Intranet 安全区域中禁用活动脚本,帮助防止利用这些漏洞。 为此,请执行下列步骤:- 在 Internet Explorer 中,单击“工具”菜单上的“Internet 选项”。
- 单击“安全”选项卡。
- 单击“Internet”,然后单击“自定义级别”。
- 在设置的“脚本”部分的“活动脚本”下,单击“提示”或“禁用”,然后单击“确定”。
- 单击“本地 Intranet”,然后单击“自定义级别”。
- 在设置的“脚本”部分的“活动脚本”下,单击 ior Disable 中添加的注册表项,然后单击“确定”。
- 单击“确定”返回到 Internet Explorer,然后再次单击“确定”。
请注意 ,在 Internet 和本地 Intranet 安全区域中禁用活动脚本可能会导致某些网站无法正常工作。 如果在更改此设置后难以使用网站,并且确信该网站是安全的,则可以将该网站添加到受信任的网站列表中。 这将允许网站正常工作。
解决方法的影响。 在运行活动脚本之前提示有副作用。 许多位于 Internet 或 Intranet 上的网站都使用活动脚本来提供其他功能。 例如,在线电子商务网站或银行网站可能使用活动脚本来提供菜单、订购表单甚至帐户帐单。 运行活动脚本之前提示是影响所有 Internet 和 Intranet 站点的全局设置。 启用此解决方法时,会经常提示你。 对于每个提示,如果你觉得你信任访问的网站,请单击“是”以运行活动脚本。 如果不想提示输入所有这些站点,请使用“将信任的站点添加到 Internet Explorer 受信任站点区域”中所述的步骤。
将信任的站点添加到 Internet Explorer 受信任的站点区域
将 Internet Explorer 设置为在 Internet 区域和本地 Intranet 区域中运行 ActiveX 控件和活动脚本之前需要提示后,可以将信任的站点添加到 Internet Explorer 受信任的站点区域。 这样,就可以像你今天一样继续使用受信任的网站,同时帮助保护你免受不受信任的网站的此攻击。 建议仅将信任的站点添加到受信任的站点区域。为此,请执行下列步骤:
- 在 Internet Explorer 中,单击“工具”,单击“Internet 选项”,然后单击“安全”选项卡。
- 在“选择 Web 内容区域”中指定其当前安全设置框,单击“受信任的站点”,然后单击“站点”。
- 如果要添加不需要加密通道的站点,请单击以清除此区域中所有站点的“要求服务器验证”(https:)检查框。
- 在 “将此网站添加到区域 ”框中,键入你信任的网站 URL,然后单击“ 添加”。
- 对要添加到该区域的每个站点重复这些步骤。
- 单击“ 确定 ”两次以接受更改并返回到 Internet Explorer。
请注意 ,添加你信任的任何站点不会对系统执行恶意操作。 特别是要添加的两个网站是 *.windowsupdate.microsoft.com 和 *.update.microsoft.com。 这些站点将托管更新,它们需要 ActiveX 控件才能安装更新。
安全更新部署
有关安全更新部署信息,请参阅“执行摘要”中引用的 Microsoft 知识库文章。
致谢
Microsoft 认识到安全社区中那些帮助我们通过协调漏洞披露来保护客户的努力。 有关详细信息,请参阅确认。
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2017 年 1 月 10 日):公告已发布。
页面生成的 2017-01-03 9:18Z-08:00。