MSRC ppDocument 模板

Microsoft 安全公告 MS17-009 - 严重

Microsoft Windows PDF 库安全更新程序 (4010319)

发布日期:2017 年 3 月 14 日

**版本:**1.0

执行摘要

此安全更新程序修复了 Microsoft Windows 中的一个漏洞。如果用户在线查看经特殊设计的 PDF 内容或打开经特殊设计的 PDF 文档,则该漏洞可能允许远程执行代码。

对于 Windows 8.1、Windows Server 2012、Windows RT 8.1、Windows Server 2012 R2、Windows 10 和 Windows Server 2016 的所有受支持版本,此安全更新的等级为“严重”。有关更多信息,请参阅受影响的软件和漏洞严重等级部分。

此安全更新通过更正受影响的系统处理内存中对象的方式来修复此漏洞。有关此漏洞的更多信息,请参阅漏洞信息部分。

有关此更新的更多信息,请参阅 Microsoft 知识库文章 4010319

受影响的软件和漏洞严重等级

以下软件版本都受到影响。未列出的版本表明其支持生命周期已结束或不受影响。若要确定软件版本的支持生命周期,请参阅 Microsoft 支持生命周期

以下严重等级假设漏洞可能造成最大影响。若要了解在此安全公告发布 30 天内漏洞被利用的可能性(相对于严重等级和安全影响),请参阅 3 月份公告摘要中的利用指数。

注意 如需了解使用安全更新程序信息的新方法,请参阅安全更新程序指南。你可以自定义视图,创建受影响软件电子数据表,并通过 RESTful API 下载数据。如需了解更多信息,请参阅安全更新指南常见问题解答。重要提醒:“安全更新程序指南”将替代安全公告。有关更多详细信息,请参阅我们的博客文章 Furthering our commitment to security updates(深化我们对安全更新程序的承诺)。

**操作系统** [**Microsoft PDF 内存损坏漏洞 – CVE-2017-0023**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-0023) **替代的更新**
**Windows 8.1**
[Windows 8.1(用于 32 位系统)](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012213) (4012213) 纯安全补丁[1] **严重**  远程代码执行
[Windows 8.1(用于 32 位系统)](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012216) (4012216) 每月汇总补丁[1] **严重**  远程代码执行 [3205401](https://support.microsoft.com/zh-cn/kb/3205401)
[Windows 8.1(用于基于 x64 的系统)](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012213) (4012213) 纯安全补丁[1] **严重**  远程代码执行
[Windows 8.1(用于基于 x64 的系统)](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012216) (4012216) 每月汇总补丁[1] **严重**  远程代码执行 [3205401](https://support.microsoft.com/zh-cn/kb/3205401)
**Windows Server 2012 和 Windows Server 2012 R2**
[Windows Server 2012](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012214) (4012214) 纯安全补丁[1] **严重**  远程代码执行
[Windows Server 2012](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012217) (4012217) 每月汇总补丁[1] **严重**  远程代码执行 [3205409](https://support.microsoft.com/zh-cn/kb/3205409)
[Windows Server 2012 R2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012213) (4012213) 纯安全补丁[1] **严重**  远程代码执行
[Windows Server 2012 R2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012216) (4012216) 每月汇总补丁[1] **严重**  远程代码执行 [3205401](https://support.microsoft.com/zh-cn/kb/3205401)
**Windows RT 8.1**
Windows RT 8.1[2] (4012216) 月度汇总 **严重**  远程代码执行 [3205401](https://support.microsoft.com/zh-cn/kb/3205401)
**Windows 10**
[Windows 10(用于 32 位系统)](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012606)[3] (4012606) **严重**  远程代码执行 [3210720](https://support.microsoft.com/zh-cn/kb/3210720)
[Windows 10(用于基于 x64 的系统)](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012606)[3] (4012606) **严重**  远程代码执行 [3210720](https://support.microsoft.com/zh-cn/kb/3210720)
[Windows 10 版本 1511(用于 32 位系统)](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013198)[3] (4013198) **严重**  远程代码执行 [3210721](https://support.microsoft.com/zh-cn/kb/3210721)
[Windows 10 版本 1511(用于基于 x64 的系统)](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013198)[3] (4013198) **严重**  远程代码执行 [3210721](https://support.microsoft.com/zh-cn/kb/3210721)
[Windows 10 版本 1607(用于 32 位系统)](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013429)[3] (4013429) **严重**  远程代码执行 [3213986](https://support.microsoft.com/zh-cn/kb/3213986)
[Windows 10 版本 1607(用于基于 x64 的系统)](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013429)[3] (4013429) **严重**  远程代码执行 [3213986](https://support.microsoft.com/zh-cn/kb/3213986)
**Windows Server 2016**
[Windows Server 2016(用于基于 x64 的系统)](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013429)[3] (4013429) **严重**  远程代码执行 [3213986](https://support.microsoft.com/zh-cn/kb/3213986)

[1] 从 2016 年 10 月版开始,Microsoft 已更改 Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012 和 Windows Server 2012 R2 的更新服务模式。有关详细信息,请参阅此 Microsoft TechNet 文章

[2]此更新程序仅通过 Windows 更新提供。

[3] Windows 10 和 Windows Server 2016 更新为累积更新。除了非安全更新之外,每月安全发布还包括用于影响 Windows 10 的漏洞的所有安全修补程序。可以通过 Microsoft 更新目录获取这些更新程序。请注意,从 2016 年 12 月 13 日起,Windows 10 和 Windows Server 2016 累积更新详情将在发行说明中归档。请参阅发行说明,了解操作系统内部版本号、已知问题和受影响文件列表信息。

*“替代的更新程序”列仅显示一系列被取代的更新程序中最新的更新程序。有关替代的更新程序的完整列表,请转到 Microsoft 更新目录,搜索更新程序知识库文章编号,然后查看更新程序详细信息(替代的更新程序信息位于“程序包详细信息”选项卡中)。

更新常见问题解答

此公告中讨论的 PDF 库漏洞还将在 3 月发布的 Microsoft Edge 公告中进行讨论。为免受漏洞侵害,是否需要为我的特定系统和 Microsoft Edge 配置安装多个更新?
不需要。运行 Windows 10 系统的客户仅需为系统安装一个累积更新程序,即可免受 CVE-2017-0023 的侵害。PDF 库漏洞还出现在 Microsoft Edge 公告 (MS17-007) 中,因为在 Windows 10 系统中,这些漏洞的安全修补程序存在于累积更新程序随附的 Microsoft Edge 组件中。

漏洞信息

Microsoft PDF 内存损坏漏洞 CVE – 2017-0023

当 Microsoft Windows PDF 库不正确地处理内存中的对象时,存在远程执行代码漏洞。该漏洞可能以一种使攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

若要在将 Microsoft Edge 设置为默认浏览器的 Windows 10 系统上利用此漏洞,攻击者可以托管一个经特殊设计的包含恶意 PDF 内容的网站,然后诱使用户查看该网站。攻击者还可能会利用被入侵的网站或者接受或托管用户提供的内容或广告的网站,方法是向此类网站添加经特殊设计的 PDF 内容。仅将 Microsoft Edge 设置为默认浏览器的 Windows 10 系统可以只通过查看某个网站而被入侵。所有其他受影响的操作系统的浏览器不会自动呈现 PDF 内容,因此攻击者无法强制用户查看由攻击者控制的内容。因而攻击者必须诱使用户打开某个经特殊设计的 PDF 文档,通常是通过电子邮件或即时消息进行诱骗或通过电子邮件附件。

此更新程序通过修改受影响的系统处理内存中对象的方式来修复这些漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接:

漏洞标题

CVE 编号

已公开披露

已被利用

Microsoft PDF 内存损坏漏洞

CVE-2017-0023

### 缓解因素 Microsoft 并未发现此漏洞的任何[缓解因素](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 ### 变通办法 Microsoft 并未发现此漏洞的任何[变通办法](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 安全更新部署 ------------ 有关安全更新部署的信息,请参阅执行摘要中[此处](#kbarticle)引用的 Microsoft 知识库文章。 鸣谢 ---- Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅[鸣谢](https://technet.microsoft.com/zh-cn/library/security/mt745121.aspx)。 免责声明 -------- Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定用途的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。 修订版本 -------- - V1.0(2017 年 3 月 14 日):公告已发布。 *页面生成时间:2017-03-07 11:35-08:00。*