Microsoft 資訊安全公告 MS15-084 - 重要

發行項
12/06/2019

XML Core Services 中的弱點可能會允許資訊洩漏 (3080129)

發行日期：2015 年 8 月 11 日

版本： 1.0

提要

此安全性更新可解決 Microsoft Windows 和 Microsoft Office 中的弱點。這些弱點可能會藉由當使用者按一下蓄意製作的連結時暴露記憶體位址，或明確地允許使用安全通訊端層 (SSL) 2.0 來允許資訊洩漏。但在所有情況下，攻擊者都無法強迫使用者按一下蓄意製作的連結。攻擊者必須引誘使用者按一下連結，一般是藉助電子郵件的附件或 Instant Messenger 訊息。

對下列軟體而言，此安全性更新的等級為「重要」：

安裝在所有受支援版本之 Microsoft Windows (Windows 10 除外，其不受影響) 上的 Microsoft XML Core Services 3.0 與 Microsoft XML Core Services 6.0：
安裝在 Microsoft Office 2007 Service Pack 3 上的 Microsoft XML Core Services 5.0
安裝在 Microsoft InfoPath 2007 Service Pack 3 上的 Microsoft XML Core Services 5.0

如需更多資訊，請參閱＜受影響的軟體＞一節。

此安全性更新可修改 Microsoft XML Core Services 傳回 API 要求之資料的方式，以及設定 MSXML 以在預設情況下使用更安全的網路通訊協定，因而能解決弱點。如需有關弱點的詳細資訊，請參閱＜弱點資訊＞一節。

如需有關此更新的詳細資訊，請參閱 Microsoft 知識庫文章 3080129。

受影響的軟體

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期，請參閱 Microsoft 產品技術支援週期網站。

Microsoft Windows

作業系統	元件	最大資訊安全影響	彙總嚴重性等級	已取代更新\*
Windows Vista
[Windows Vista Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48313) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS15-039](https://technet.microsoft.com/zh-tw/library/security/ms15-039) 中的 3046482 [MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
[Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48339) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS15-039](https://technet.microsoft.com/zh-tw/library/security/ms15-039) 中的 3046482 [MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
Windows Server 2008
[32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48358) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS15-039](https://technet.microsoft.com/zh-tw/library/security/ms15-039) 中的 3046482 [MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
[適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48334) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS15-039](https://technet.microsoft.com/zh-tw/library/security/ms15-039) 中的 3046482 [MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
[Itanium 系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=b4ce0bd6-0a0c-4f53-a8f0-e47928d91cf7) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS15-039](https://technet.microsoft.com/zh-tw/library/security/ms15-039) 中的 3046482 [MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
Windows 7
[Windows 7 32 位元系統 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=48320) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS15-039](https://technet.microsoft.com/zh-tw/library/security/ms15-039) 中的 3046482 [MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
[Windows 7 x64 系統 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=48323) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS15-039](https://technet.microsoft.com/zh-tw/library/security/ms15-039) 中的 3046482 [MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
Windows Server 2008 R2
[Windows Server 2008 R2 x64 系統 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=48304) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS15-039](https://technet.microsoft.com/zh-tw/library/security/ms15-039) 中的 3046482 [MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
[適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=ccbc33d0-1e9b-490b-a2af-435a1d2a16bb) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS15-039](https://technet.microsoft.com/zh-tw/library/security/ms15-039) 中的 3046482 [MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
Windows 8 和 Windows 8.1
[Windows 8 32 位元系統](https://www.microsoft.com/zh-tw/download/details.aspx?id=48372) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
[Windows 8 x64 系統](https://www.microsoft.com/zh-tw/download/details.aspx?id=48346) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
[Windows 8.1 32 位元系統](https://www.microsoft.com/zh-tw/download/details.aspx?id=48350) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
[Windows 8.1 x64 系統](https://www.microsoft.com/zh-tw/download/details.aspx?id=48362) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
Windows Server 2012 和 Windows Server 2012 R2
[Windows Server 2012](https://www.microsoft.com/zh-tw/download/details.aspx?id=48303) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
[Windows Server 2012 R2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48382) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
Windows RT 和 Windows RT 8.1
Windows RT^[1] (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
Windows RT 8.1^[1] (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
Server Core 安裝選項
[適用於 32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48358) (Server Core 安裝) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS15-039](https://technet.microsoft.com/zh-tw/library/security/ms15-039) 中的 3046482 [MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
[適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48334) (Server Core 安裝) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS15-039](https://technet.microsoft.com/zh-tw/library/security/ms15-039) 中的 3046482 [MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
[適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=48304) (Server Core 安裝) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS15-039](https://technet.microsoft.com/zh-tw/library/security/ms15-039) 中的 3046482 [MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
[Windows Server 2012](https://www.microsoft.com/zh-tw/download/details.aspx?id=48303) (Server Core 安裝) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576
[Windows Server 2012 R2](https://www.microsoft.com/zh-tw/download/details.aspx?id=48382) (Server Core 安裝) (3076895)	Microsoft XML Core Services 3.0 和 Microsoft XML Core Services 6.0	資訊洩漏	重要	[MS14-033](https://technet.microsoft.com/zh-tw/library/security/ms14-033) 中的 2939576

^[1]更新僅透過 [Windows Update](https://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=zh-tw) 提供。

* [已取代更新] 資料行僅顯示被取代更新鏈結中的最新更新。如需完整的已取代更新清單，請前往 Microsoft Update Catalog，搜尋更新知識庫文章編號，然後檢視更新詳細資料 (已取代更新資訊位於 [套件詳細資料] 索引標籤)。

注意 Windows Server Technical Preview 2 將受到影響。建議執行此作業系統的客戶套用更新，您可以透過 Windows Update 取得更新。

Microsoft Office

Office 軟體	元件	最大資訊安全影響	彙總嚴重性等級	已取代更新\*
Microsoft Office 套件和元件
[Microsoft Office 2007 Service Pack 3](https://www.microsoft.com/zh-tw/download/details.aspx?id=48469) (2825645)	Microsoft XML Core Services 5.0	資訊洩漏	重要	[MS13-002](https://technet.microsoft.com/zh-tw/security/bulletin/ms13-002) 中的 2687499
其他 Microsoft Office 軟體
[Microsoft InfoPath 2007 Service Pack 3](https://www.microsoft.com/zh-tw/download/details.aspx?id=48469) (2825645)	Microsoft XML Core Services 5.0	資訊洩漏	重要	[MS13-002](https://technet.microsoft.com/zh-tw/security/bulletin/ms13-002) 中的 2687499

\* \[已取代更新\] 資料行僅顯示被取代更新鏈結中的最新更新。如需完整的已取代更新清單，請前往 [Microsoft Update Catalog](https://catalog.update.microsoft.com/v7/site/home.aspx) (英文)，搜尋更新知識庫文章編號，然後檢視更新詳細資料 (已取代更新資訊位於 \[套件詳細資料\] 索引標籤)。

嚴重性等級和弱點識別碼

下列嚴重性等級是假設弱點可能造成的最嚴重影響而評定。在本安全性公告發行的 30 天內，如需弱點之易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊，請參閱 8 月份公告摘要中的＜弱點索引＞。

依受影響軟體列出的弱點嚴重性等級和最大安全性影響
受影響的軟體	[MSXML 資訊洩漏弱點 - CVE-2015-2434](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2434)	[MSXML 資訊洩漏弱點 - CVE-2015-2440](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2440)	[MSXML 資訊洩漏弱點 - CVE-2015-2471](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2471)	彙總嚴重性等級
Windows Vista
安裝於 Windows Vista Service Pack 2 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於 Windows Vista x64 Edition Service Pack 2 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於 Windows Vista x64 Edition Service Pack 2 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows Server 2008
安裝於適用於 32 位元系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 32 位元系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 x64 型系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 x64 型系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows 7
安裝於適用於 32 位元系統的 Windows 7 Service Pack 1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 32 位元系統的 Windows 7 Service Pack 1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 x64 型系統的 Windows 7 Service Pack 1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 x64 型系統的 Windows 7 Service Pack 1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows Server 2008 R2
安裝於適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows 8 和 Windows 8.1
安裝於適用於 32 位元系統的 Windows 8 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 32 位元系統的 Windows 8 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 x64 型系統的 Windows 8 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 x64 型系統的 Windows 8 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 32 位元系統的 Windows 8.1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 32 位元系統的 Windows 8.1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 x64 型系統的 Windows 8.1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 x64 型系統的 Windows 8.1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows Server 2012 和 Windows Server 2012 R2
Windows Server 2012 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
Windows Server 2012 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows Server 2012 R2 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
Windows Server 2012 R2 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows RT 和 Windows RT 8.1
Windows RT 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
Windows RT 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows RT 8.1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
Windows RT 8.1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Server Core 安裝選項
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
適用於 x64 系統之 Windows Server 2008 Service Pack 2 (Server Core 安裝) 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
適用於 x64 系統之 Windows Server 2008 Service Pack 2 (Server Core 安裝) 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
適用於 x64 系統之 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
適用於 x64 系統之 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows Server 2012 (Server Core 安裝) 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
Windows Server 2012 (Server Core 安裝) 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows Server 2012 R2 (Server Core 安裝) 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
Windows Server 2012 R2 (Server Core 安裝) 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Microsoft Office 2007
安裝在 Microsoft Office 2007 Service Pack 2 上的 Microsoft XML Core Services 5.0 (2825645)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝在 Microsoft Office 2007 Service Pack 3 上的 Microsoft XML Core Services 5.0 (2825645)	不適用	重要資訊洩漏	不適用	重要
Microsoft InfoPath 2007
安裝於適用於 32 位元系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 5.0 (2825645)	不適用	重要資訊洩漏	不適用	重要

更新常見問題集

我的系統上安裝的 Microsoft XML Core Services 是什麼版本？

某些版本的 Microsoft XML Core Services 隨附於 Microsoft Windows 中；其他則是與 Microsoft 或協力廠商供應商的非作業系統軟體一起安裝。某些版本有提供獨立下載。下表顯示哪些 Microsoft XML Core Services 版本隨附於 Microsoft Windows 中，哪些則是與其他 Microsoft 或協力廠商的軟體一起安裝。

作業系統	MSXML 3.0 與 MSXML 6.0	MSXML 5.0
Windows Vista	隨附於作業系統	與其他軟體一起安裝
Windows Server 2008	隨附於作業系統	與其他軟體一起安裝
Windows 7	隨附於作業系統	與其他軟體一起安裝
Windows Server 2008 R2	隨附於作業系統	與其他軟體一起安裝
Windows 8 和 Windows 8.1	隨附於作業系統	與其他軟體一起安裝
Windows Server 2012 和 Windows Server 2012 R2	隨附於作業系統	與其他軟體一起安裝

弱點資訊 -------- 多項 MSXML 資訊洩漏弱點 ----------------------- 當 [Microsoft XML Core Services (MSXML)](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx) 明確允許使用安全通訊端層 (SSL) 2.0 時，會出現資訊洩漏弱點。成功利用這些弱點的攻擊者，可將部份的加密網路資訊流量解密。在攔截式 (MiTM) 攻擊案例中，攻擊者可能會強制執行加密的 SSL 2.0 工作階段，然後將一部份加密的網路資訊流量解密。此更新能設定 MSXML 以在預設情況下使用更安全的網路通訊協定 (取代 SSL 2.0)，因而能解決問題。下表包含「一般性弱點」清單中每個弱點的標準項目連結：

弱點標題	CVE 編號	已公開揭露	是否遭到利用
MSXML 資訊洩漏弱點	CVE-2015-2434	否	否
MSXML 資訊洩漏弱點	CVE-2015-2471	否	否

### 緩和因素 Microsoft 尚未找到此項弱點的任何[緩和因素](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 ### 因應措施 Microsoft 尚未找到此項弱點的任何[因應措施](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 MSXML 資訊洩漏弱點 - CVE-2015-2440 ---------------------------------- 當 [Microsoft XML Core Services (MSXML)](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx) 暴露不該公開揭露的記憶體位址時，會出現資訊洩漏弱點。攻擊者可以結合這項資訊洩漏弱點，略過位址空間配置隨機載入 (ASLR)。成功利用此弱點的攻擊者可能可以讀取私人資料。此弱點不會直接允許攻擊者執行程式碼或提升使用權限，但能用來取得資訊，因而進一步嘗試破壞受影響的系統。若要利用此弱點，攻擊者可能會架設蓄意製作的網站，以透過 Internet Explorer 叫用 MSXML。然而，攻擊者並無法強迫使用者造訪這類網站，而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件訊息或 Instant Messenger 要求中通往攻擊者網站的連結。此更新會修改 Microsoft XML Core Services 傳回資料要求的方式，因而能解決這項弱點。 Microsoft 是經由協同合作的來源接獲有關此弱點的訊息。本資訊安全公告發行時，Microsoft 尚未接到任何有關本弱點已公開用來攻擊客戶的消息。 ### 緩和因素 Microsoft 尚未找到此項弱點的任何[緩和因素](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 ### 因應措施 Microsoft 尚未找到此項弱點的任何[因應措施](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。安全性更新部署 -------------- 如需安全性更新部署資訊，請在[here](#kbarticle)參閱＜提要＞中的 Microsoft 知識庫文章。致謝 ---- Microsoft 了解資訊安全業界所做的努力，其盡責地透露弱點來協助我們保護客戶。請參閱[致謝](https://technet.microsoft.com/zh-tw/library/security/dn903755.aspx) (英文) 以取得詳細資訊。免責聲明 -------- Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供，並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保，包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害，Microsoft Corporation 及其供應商皆不負任何法律責任，包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任，因此前述限制不適用於這些地區。修訂 ---- - V1.0 (2015 年 8 月 11 日)：公告發行。 *頁面產生時間：10.08.15 11:15Z-07:00。*

依受影響軟體列出的弱點嚴重性等級和最大安全性影響
受影響的軟體	[MSXML 資訊洩漏弱點 - CVE-2015-2434](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2434)	[MSXML 資訊洩漏弱點 - CVE-2015-2440](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2440)	[MSXML 資訊洩漏弱點 - CVE-2015-2471](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2471)	彙總嚴重性等級
Windows Vista
安裝於 Windows Vista Service Pack 2 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於 Windows Vista x64 Edition Service Pack 2 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於 Windows Vista x64 Edition Service Pack 2 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows Server 2008
安裝於適用於 32 位元系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 32 位元系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 x64 型系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 x64 型系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows 7
安裝於適用於 32 位元系統的 Windows 7 Service Pack 1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 32 位元系統的 Windows 7 Service Pack 1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 x64 型系統的 Windows 7 Service Pack 1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 x64 型系統的 Windows 7 Service Pack 1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows Server 2008 R2
安裝於適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows 8 和 Windows 8.1
安裝於適用於 32 位元系統的 Windows 8 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 32 位元系統的 Windows 8 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 x64 型系統的 Windows 8 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 x64 型系統的 Windows 8 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 32 位元系統的 Windows 8.1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 32 位元系統的 Windows 8.1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
安裝於適用於 x64 型系統的 Windows 8.1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝於適用於 x64 型系統的 Windows 8.1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows Server 2012 和 Windows Server 2012 R2
Windows Server 2012 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
Windows Server 2012 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows Server 2012 R2 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
Windows Server 2012 R2 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows RT 和 Windows RT 8.1
Windows RT 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
Windows RT 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows RT 8.1 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
Windows RT 8.1 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Server Core 安裝選項
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
適用於 x64 系統之 Windows Server 2008 Service Pack 2 (Server Core 安裝) 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
適用於 x64 系統之 Windows Server 2008 Service Pack 2 (Server Core 安裝) 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
適用於 x64 系統之 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
適用於 x64 系統之 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows Server 2012 (Server Core 安裝) 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
Windows Server 2012 (Server Core 安裝) 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Windows Server 2012 R2 (Server Core 安裝) 上的 Microsoft XML Core Services 3.0 (3076895)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
Windows Server 2012 R2 (Server Core 安裝) 上的 Microsoft XML Core Services 6.0 (3076895)	不適用	重要資訊洩漏	不適用	重要
Microsoft Office 2007
安裝在 Microsoft Office 2007 Service Pack 2 上的 Microsoft XML Core Services 5.0 (2825645)	重要資訊洩漏	重要資訊洩漏	重要資訊洩漏	重要
安裝在 Microsoft Office 2007 Service Pack 3 上的 Microsoft XML Core Services 5.0 (2825645)	不適用	重要資訊洩漏	不適用	重要
Microsoft InfoPath 2007
安裝於適用於 32 位元系統的 Windows Server 2008 Service Pack 2 上的 Microsoft XML Core Services 5.0 (2825645)	不適用	重要資訊洩漏	不適用	重要