Microsoft 資訊安全公告 MS15-101 - 重要

.NET Framework 中的弱點可能會允許權限提高 (3089662)

發行日期:2015 年 9 月 8 日 | 更新日期:2016 年 2 月 9 日

版本: 1.2

提要

這個安全性更新可解決 Microsoft .NET Framework 中的弱點。如果使用者執行蓄意製作的 .NET 應用程式,則這些弱點中最嚴重者可能會允許提高權限。不過,在所有情況下,攻擊者都無法強迫使用者執行應用程式,他們必須說服使用者。

對於受影響版本的 Microsoft Windows 上的 Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4、Microsoft .NET Framework 4.5、Microsoft .NET Framework 4.5.1 和 Microsoft .NET Framework 4.5.2,此安全性更新的等級為「重要」。如需更多資訊,請參閱<受影響的軟體>一節。

此安全性更新利用兩種方式解決這些弱點,其一為修正 .NET Framework 複製記憶體中物件的方式,其二為修正 .NET Framework 處理蓄意製作之要求的方式。如需更多有關此弱點的資訊,請參閱特定弱點的<常見問題集 (FAQ)>小節。

如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章編號 3089662

受影響的軟體和弱點嚴重性等級

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站

下列嚴重性等級是假設弱點可能造成的最嚴重影響而評定。在本資訊安全公告發行的 30 天內,如需弱點之易遭利用性與嚴重性等級和資訊安全影響之間對應關係的資訊,請參閱 9 月份公告摘要中的<弱點索引>。

**作業系統** **元件** [**.NET 權限提高弱點 - CVE-2015-2504**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2504) [**MVC 阻斷服務弱點 - CVE-2015-2526**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2526) **取代的更新**
**Windows Vista**
Windows Vista Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **重要** 權限提高 ([3074541](https://www.microsoft.com/zh-tw/download/details.aspx?id=48898)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074541 – 2656374
Windows Vista Service Pack 2 Microsoft .NET Framework 4[1] **重要** 權限提高 ([3074547](https://www.microsoft.com/zh-tw/download/details.aspx?id=48897)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074547 – 2656368
Windows Vista Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **重要** 權限提高 ([3074550](https://www.microsoft.com/zh-tw/download/details.aspx?id=48861)) **重要** 阻斷服務 (DoS) ([3074230](https://www.microsoft.com/zh-tw/download/details.aspx?id=48908)) 3074550 – 無 3074230 – 無
Windows Vista Service Pack 2 Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074554](https://www.microsoft.com/zh-tw/download/details.aspx?id=48849)) **重要** 阻斷服務 (DoS) ([3074233](https://www.microsoft.com/zh-tw/download/details.aspx?id=48892)) 3074554 – 無 3074233 – 無
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **重要** 權限提高 ([3074541](https://www.microsoft.com/zh-tw/download/details.aspx?id=48898)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074541 – 2656374
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 4[1] **重要** 權限提高 ([3074547](https://www.microsoft.com/zh-tw/download/details.aspx?id=48897)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074547 – 2656368
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **重要** 權限提高 ([3074550](https://www.microsoft.com/zh-tw/download/details.aspx?id=48861)) **重要** 阻斷服務 (DoS) ([3074230](https://www.microsoft.com/zh-tw/download/details.aspx?id=48908)) 3074550 – 無 3074230 – 無
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074554](https://www.microsoft.com/zh-tw/download/details.aspx?id=48849)) **重要** 阻斷服務 (DoS) ([3074233](https://www.microsoft.com/zh-tw/download/details.aspx?id=48892)) 3074554 – 無 3074233 – 無
**Windows Server 2008**
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **重要** 權限提高 ([3074541](https://www.microsoft.com/zh-tw/download/details.aspx?id=48898)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074541 – 2656374
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 Microsoft .NET Framework 4[1] **重要** 權限提高 ([3074547](https://www.microsoft.com/zh-tw/download/details.aspx?id=48897)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074547 – 2656368
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **重要** 權限提高 ([3074550](https://www.microsoft.com/zh-tw/download/details.aspx?id=48861)) **重要** 阻斷服務 (DoS) ([3074230](https://www.microsoft.com/zh-tw/download/details.aspx?id=48908)) 3074550 – 無 3074230 – 無
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074554](https://www.microsoft.com/zh-tw/download/details.aspx?id=48849)) **重要** 阻斷服務 (DoS) ([3074233](https://www.microsoft.com/zh-tw/download/details.aspx?id=48892)) 3074554 – 無 3074233 – 無
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **重要** 權限提高 ([3074541](https://www.microsoft.com/zh-tw/download/details.aspx?id=48898)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074541 – 2656374
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 Microsoft .NET Framework 4[1] **重要** 權限提高 ([3074547](https://www.microsoft.com/zh-tw/download/details.aspx?id=48897)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074547 – 2656368
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **重要** 權限提高 ([3074550](https://www.microsoft.com/zh-tw/download/details.aspx?id=48861)) **重要** 阻斷服務 (DoS) ([3074230](https://www.microsoft.com/zh-tw/download/details.aspx?id=48908)) 3074550 – 無 3074230 – 無
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074554](https://www.microsoft.com/zh-tw/download/details.aspx?id=48849)) **重要** 阻斷服務 (DoS) ([3074233](https://www.microsoft.com/zh-tw/download/details.aspx?id=48892)) 3074554 – 無 3074233 – 無
適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **重要** 權限提高 ([3074541](https://www.microsoft.com/zh-tw/download/details.aspx?id=48898)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074541 – 2656374
適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 Microsoft .NET Framework 4[1] **重要** 權限提高 ([3074547](https://www.microsoft.com/zh-tw/download/details.aspx?id=48897)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074547 – 2656368
**Windows 7**
適用於 32 位元系統的 Windows 7 Service Pack 1 Microsoft .NET Framework 3.5.1 **重要** 權限提高 ([3074543](https://www.microsoft.com/zh-tw/download/details.aspx?id=48905)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074543 – 2656373
適用於 32 位元系統的 Windows 7 Service Pack 1 Microsoft .NET Framework 4[1] **重要** 權限提高 ([3074547](https://www.microsoft.com/zh-tw/download/details.aspx?id=48897)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074547 – 2656368
適用於 32 位元系統的 Windows 7 Service Pack 1 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **重要** 權限提高 ([3074550](https://www.microsoft.com/zh-tw/download/details.aspx?id=48861)) **重要** 阻斷服務 (DoS) ([3074230](https://www.microsoft.com/zh-tw/download/details.aspx?id=48908)) 3074550 – 無 3074230 – 無
適用於 32 位元系統的 Windows 7 Service Pack 1 Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074554](https://www.microsoft.com/zh-tw/download/details.aspx?id=48849)) **重要** 阻斷服務 (DoS) ([3074233](https://www.microsoft.com/zh-tw/download/details.aspx?id=48892)) 3074554 – 無 3074233 – 無
適用於 x64 系統的 Windows 7 Service Pack 1 Microsoft .NET Framework 3.5.1 **重要** 權限提高 ([3074543](https://www.microsoft.com/zh-tw/download/details.aspx?id=48905)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074543 – 2656373
適用於 x64 系統的 Windows 7 Service Pack 1 Microsoft .NET Framework 4[1] **重要** 權限提高 ([3074547](https://www.microsoft.com/zh-tw/download/details.aspx?id=48897)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074547 – 2656368
適用於 x64 系統的 Windows 7 Service Pack 1 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **重要** 權限提高 ([3074550](https://www.microsoft.com/zh-tw/download/details.aspx?id=48861)) **重要** 阻斷服務 (DoS) ([3074230](https://www.microsoft.com/zh-tw/download/details.aspx?id=48908)) 3074550 – 無 3074230 – 無
適用於 x64 系統的 Windows 7 Service Pack 1 Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074554](https://www.microsoft.com/zh-tw/download/details.aspx?id=48849)) **重要** 阻斷服務 (DoS) ([3074233](https://www.microsoft.com/zh-tw/download/details.aspx?id=48892)) 3074554 – 無 3074233 – 無
**Windows Server 2008 R2**
適用於 x64 系統的 Windows Server 2008 R2 Service Pack 1 Microsoft .NET Framework 3.5.1 **重要** 權限提高 ([3074543](https://www.microsoft.com/zh-tw/download/details.aspx?id=48905)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074543 – 2656373
適用於 x64 系統的 Windows Server 2008 R2 Service Pack 1 Microsoft .NET Framework 4[1] **重要** 權限提高 ([3074547](https://www.microsoft.com/zh-tw/download/details.aspx?id=48897)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074547 – 2656368
適用於 x64 系統的 Windows Server 2008 R2 Service Pack 1 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **重要** 權限提高 ([3074550](https://www.microsoft.com/zh-tw/download/details.aspx?id=48861)) **重要** 阻斷服務 (DoS) ([3074230](https://www.microsoft.com/zh-tw/download/details.aspx?id=48908)) 3074550 – 無 3074230 – 無
適用於 x64 系統的 Windows Server 2008 R2 Service Pack 1 Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074554](https://www.microsoft.com/zh-tw/download/details.aspx?id=48849)) **重要** 阻斷服務 (DoS) ([3074233](https://www.microsoft.com/zh-tw/download/details.aspx?id=48892)) 3074554 – 無 3074233 – 無
適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1 Microsoft .NET Framework 3.5.1 **重要** 權限提高 ([3074543](https://www.microsoft.com/zh-tw/download/details.aspx?id=48905)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074543 – 2656373
適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1 Microsoft .NET Framework 4[1] **重要** 權限提高 ([3074547](https://www.microsoft.com/zh-tw/download/details.aspx?id=48897)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074547 – 2656368
**Windows 8 和 Windows 8.1**
適用於 32 位元系統的 Windows 8 Microsoft .NET Framework 3.5 **重要** 權限提高 ([3074544](https://www.microsoft.com/zh-tw/download/details.aspx?id=48902)) 不適用 3074544 – 無
適用於 32 位元系統的 Windows 8 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **重要** 權限提高 ([3074229](https://www.microsoft.com/zh-tw/download/details.aspx?id=48847)) **重要** 阻斷服務 (DoS) ([3074549](https://www.microsoft.com/zh-tw/download/details.aspx?id=48894)) 3074229 – 無 3074549 – 無
適用於 32 位元系統的 Windows 8 Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074552](https://www.microsoft.com/zh-tw/download/details.aspx?id=48836)) **重要** 阻斷服務 (DoS) ([3074231](https://www.microsoft.com/zh-tw/download/details.aspx?id=48889)) 3074552 – 無 3074231 – 無
適用於 x64 型系統的 Windows 8 Microsoft .NET Framework 3.5 **重要** 權限提高 ([3074544](https://www.microsoft.com/zh-tw/download/details.aspx?id=48902)) 不適用 3074544 – 無
適用於 x64 型系統的 Windows 8 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **重要** 權限提高 ([3074229](https://www.microsoft.com/zh-tw/download/details.aspx?id=48847)) **重要** 阻斷服務 (DoS) ([3074549](https://www.microsoft.com/zh-tw/download/details.aspx?id=48894)) 3074229 – 無 3074549 – 無
適用於 x64 型系統的 Windows 8 Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074552](https://www.microsoft.com/zh-tw/download/details.aspx?id=48836)) **重要** 阻斷服務 (DoS) ([3074231](https://www.microsoft.com/zh-tw/download/details.aspx?id=48889)) 3074552 – 無 3074231 – 無
適用於 32 位元系統的 Windows 8.1 Microsoft .NET Framework 3.5 **重要** 權限提高 ([3074545](https://www.microsoft.com/zh-tw/download/details.aspx?id=48903)) 不適用 3074545 – 無
適用於 32 位元系統的 Windows 8.1 Microsoft .NET Framework 4.5.1/4.5.2 **重要** 權限提高 ([3074548](https://www.microsoft.com/zh-tw/download/details.aspx?id=48896)) **重要** 阻斷服務 (DoS) ([3074228](https://www.microsoft.com/zh-tw/download/details.aspx?id=48904)) 3074548 – 無 3074228 – 無
適用於 32 位元系統的 Windows 8.1 Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074553](https://www.microsoft.com/zh-tw/download/details.aspx?id=48842)) **重要** 阻斷服務 (DoS) ([3074232](https://www.microsoft.com/zh-tw/download/details.aspx?id=48893)) 3074553 – 無 3074232 – 無
適用於 x64 型系統的 Windows 8.1 Microsoft .NET Framework 3.5 **重要** 權限提高 ([3074545](https://www.microsoft.com/zh-tw/download/details.aspx?id=48903)) 不適用 3074545 – 無
適用於 x64 型系統的 Windows 8.1 Microsoft .NET Framework 4.5.1/4.5.2 **重要** 權限提高 ([3074548](https://www.microsoft.com/zh-tw/download/details.aspx?id=48896)) **重要** 阻斷服務 (DoS) ([3074228](https://www.microsoft.com/zh-tw/download/details.aspx?id=48904)) 3074548 – 無 3074228 – 無
適用於 x64 型系統的 Windows 8.1 Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074553](https://www.microsoft.com/zh-tw/download/details.aspx?id=48842)) **重要** 阻斷服務 (DoS) ([3074232](https://www.microsoft.com/zh-tw/download/details.aspx?id=48893)) 3074553 – 無 3074232 – 無
**Windows Server 2012 和 Windows Server 2012 R2**
Windows Server 2012 Microsoft .NET Framework 3.5 **重要** 權限提高 ([3074544](https://www.microsoft.com/zh-tw/download/details.aspx?id=48902)) 不適用 3074544 – 無
Windows Server 2012 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **重要** 權限提高 ([3074229](https://www.microsoft.com/zh-tw/download/details.aspx?id=48847)) **重要** 阻斷服務 (DoS) ([3074549](https://www.microsoft.com/zh-tw/download/details.aspx?id=48894)) 3074229 – 無 3074549 – 無
Windows Server 2012 Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074552](https://www.microsoft.com/zh-tw/download/details.aspx?id=48836)) **重要** 阻斷服務 (DoS) ([3074231](https://www.microsoft.com/zh-tw/download/details.aspx?id=48889)) 3074552 – 無 3074231 – 無
Windows Server 2012 R2 Microsoft .NET Framework 3.5 **重要** 權限提高 ([3074545](https://www.microsoft.com/zh-tw/download/details.aspx?id=48903)) 不適用 3074545 – 無
Windows Server 2012 R2 Microsoft .NET Framework 4.5.1/4.5.2 **重要** 權限提高 ([3074548](https://www.microsoft.com/zh-tw/download/details.aspx?id=48896)) **重要** 阻斷服務 (DoS) ([3074228](https://www.microsoft.com/zh-tw/download/details.aspx?id=48904)) 3074548 – 無 3074228 – 無
Windows Server 2012 R2 Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074553](https://www.microsoft.com/zh-tw/download/details.aspx?id=48842)) **重要** 阻斷服務 (DoS) ([3074232](https://www.microsoft.com/zh-tw/download/details.aspx?id=48893)) 3074553 – 無 3074232 – 無
**Windows RT 和 Windows RT 8.1**
Windows RT Microsoft .NET Framework 4.5/4.5.1/4.5.2[2] **重要** 權限提高 (3074229) **重要** 阻斷服務 (DoS) (3074549) 3074229 – 無 3074549 – 無
Windows RT Microsoft .NET Framework 4.6[2] **重要** 權限提高 (3074552) **重要** 阻斷服務 (DoS) (3074231) 3074552 – 無 3074231 – 無
Windows RT 8.1 Microsoft .NET Framework 4.5.1/4.5.2[2] **重要** 權限提高 (3074548) **重要** 阻斷服務 (DoS) (3074228) 3074548 – 無 3074228 – 無
Windows RT 8.1 Microsoft .NET Framework 4.6[2] **重要** 權限提高 (3074553) **重要** 阻斷服務 (DoS) (3074232) 3074553 – 無 3074232 – 無
**Windows 10**
適用於 32 位元系統的 Windows 10[3] Microsoft .NET Framework 3.5 **重要** 權限提高 ([3081455](https://support.microsoft.com/zh-tw/kb/3081455)) 不適用 [3081444](https://support.microsoft.com/zh-tw/kb/3081444)
適用於 32 位元系統的 Windows 10[3] Microsoft .NET Framework 4.6 **重要** 權限提高 ([3081455](https://support.microsoft.com/zh-tw/kb/3081455)) **重要** 阻斷服務 (DoS) ([3081455](https://support.microsoft.com/zh-tw/kb/3081455)) [3081444](https://support.microsoft.com/zh-tw/kb/3081444)
適用於 x64 型系統的 Windows 10 [3] Microsoft .NET Framework 3.5 **重要** 權限提高 ([3081455](https://support.microsoft.com/zh-tw/kb/3081455)) 不適用 [3081444](https://support.microsoft.com/zh-tw/kb/3081444)
適用於 x64 型系統的 Windows 10 [3] Microsoft .NET Framework 4.6 **重要** 權限提高 ([3081455](https://support.microsoft.com/zh-tw/kb/3081455)) **重要** 阻斷服務 (DoS) ([3081455](https://support.microsoft.com/zh-tw/kb/3081455)) [3081444](https://support.microsoft.com/zh-tw/kb/3081444)
**Server Core 安裝選項**
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) Microsoft .NET Framework 3.5.1 **重要** 權限提高 ([3074543](https://www.microsoft.com/zh-tw/download/details.aspx?id=48905)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074543 – 2656373
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) Microsoft .NET Framework 4[1] **重要** 權限提高 ([3074547](https://www.microsoft.com/zh-tw/download/details.aspx?id=48897)) 不適用 [MS12-025](https://technet.microsoft.com/zh-tw/library/security/ms12-025) 中的 3074547 – 2656368
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) Microsoft .NET Framework 4.5/4.5.1/4.5.2 **重要** 權限提高 ([3074550](https://www.microsoft.com/zh-tw/download/details.aspx?id=48861)) **重要** 阻斷服務 (DoS) ([3074230](https://www.microsoft.com/zh-tw/download/details.aspx?id=48908)) 3074550 – 無 3074230 – 無
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074554](https://www.microsoft.com/zh-tw/download/details.aspx?id=48849)) **重要** 阻斷服務 (DoS) ([3074233](https://www.microsoft.com/zh-tw/download/details.aspx?id=48892)) 3074554 – 無 3074233 – 無
Windows Server 2012 (Server Core 安裝) Microsoft .NET Framework 3.5 **重要** 權限提高 ([3074544](https://www.microsoft.com/zh-tw/download/details.aspx?id=48902)) 不適用 3074544 – 無
Windows Server 2012 (Server Core 安裝) Microsoft .NET Framework 4.5/4.5.1/4.5.2 **重要** 權限提高 ([3074229](https://www.microsoft.com/zh-tw/download/details.aspx?id=48847)) **重要** 阻斷服務 (DoS) ([3074549](https://www.microsoft.com/zh-tw/download/details.aspx?id=48894)) 3074229 – 無 3074549 – 無
Windows Server 2012 (Server Core 安裝) Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074552](https://www.microsoft.com/zh-tw/download/details.aspx?id=48836)) **重要** 阻斷服務 (DoS) ([3074231](https://www.microsoft.com/zh-tw/download/details.aspx?id=48889)) 3074552 – 無 3074231 – 無
Windows Server 2012 R2 (Server Core 安裝) Microsoft .NET Framework 3.5 **重要** 權限提高 ([3074545](https://www.microsoft.com/zh-tw/download/details.aspx?id=48903)) 不適用 3074545 – 無
Windows Server 2012 R2 (Server Core 安裝) Microsoft .NET Framework 4.5.1/4.5.2 **重要** 權限提高 ([3074548](https://www.microsoft.com/zh-tw/download/details.aspx?id=48896)) **重要** 阻斷服務 (DoS) ([3074228](https://www.microsoft.com/zh-tw/download/details.aspx?id=48904)) 3074548 – 無 3074228 – 無
Windows Server 2012 R2 (Server Core 安裝) Microsoft .NET Framework 4.6 **重要** 權限提高 ([3074553](https://www.microsoft.com/zh-tw/download/details.aspx?id=48842)) **重要** 阻斷服務 (DoS) ([3074232](https://www.microsoft.com/zh-tw/download/details.aspx?id=48893)) 3074553 – 無 3074232 – 無
[1].NET Framework 4 和 .NET Framework 4 Client Profile 會受到影響。

[2]更新僅透過 Windows Update 提供。

[3]Windows 10 更新是累積的。除了含有非安全性更新之外,它還含有本月份安全性發行隨附之所有受影響 Windows 10 弱點的所有安全性修正程式。請參閱 Microsoft 知識庫文章編號 3081455,以取得更多資訊及下載連結。

注意 Windows Server Technical Preview 2 將受到影響。建議執行此作業系統的客戶套用更新,您可以透過 Windows Update 取得更新。

更新常見問題集

我該如何分辨已安裝的 Microsoft .NET Framework 版本?
您可以在一個系統上安裝和執行多個版本的 .NET Framework,且能以任何順序安裝各版本。如需更多資訊,請參閱 Microsoft 知識庫文件編號 318785

.NET Framework 4 與 .NET Framework 4 Client Profile 之間有何差異?
可在兩個設定檔中使用 .NET Framework 第 4 版可轉散發套件:.NET Framework 4 和 .NET Framework 4 Client Profile。.NET Framework 4 Client Profile 是 .NET Framework 4 設定檔的子集,其已針對用戶端應用程式進行最佳化。它會為多數用戶端應用程式提供功能,包括 Windows Presentation Foundation (WPF)、Windows Forms、Windows Communication Foundation (WCF) 和 ClickOnce 功能。這可為以 .NET Framework 4 Client Profile 為目標的應用程式進行更快速的部署及使用更小的安裝套件。如需詳細資訊,請參閱 MSDN 文章:.NET Framework Client Profile (英文)。

部分受影響軟體有多個更新套件。我需要安裝「受影響的軟體」表中列出的更新的軟體嗎?
是的。客戶應安裝針對其系統上之軟體所提供的所有更新。

我是否必須按照特定順序來安裝這些資訊安全更新?
否。特定的作業系統如有多項更新,套用時無需按照特定順序。

弱點資訊

.NET 權限提高弱點 - CVE-2015-2504

在 .NET Framework 將記憶體中的物件複製到伺服器陣列前的物件數目驗證方式中,存在權限提高弱點。成功利用此弱點的攻擊者可以取得受影響系統上的控制權。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。系統上帳戶使用者權限較低的使用者,其受影響的程度比擁有系統管理權限的使用者要小。

在兩種攻擊案例中可能利用此弱點:網頁瀏覽案例及 Windows .NET 應用程式略過程式碼存取安全性 (CAS) 限制。以下說明這些情況:

  • 網頁瀏覽攻擊案例 攻擊者可能會架設一個蓄意製作的網站,其中包含蓄意製作來利用此弱點的 XBAP (XAML 瀏覽器應用程式),然後說服使用者檢視此網站。攻擊者也可能利用受侵害的網站,以及接受或裝載使用者提供內容或廣告的網站。但是,在所有情況下,攻擊者無法強迫使用者造訪這類網站,而是引誘使用者自行前往。一般的做法是設法讓使用者按一下即時訊息或電子郵件中通往攻擊者網站的連結。攻擊者也可能使用橫幅廣告或其他方式來顯示蓄意製作的網頁內容,以便將內容傳遞到受影響的系統。
  • Windows .NET 應用程式攻擊案例 Windows .NET Framework 應用程式也可能使用此弱點,以略過程式碼存取安全性 (CAS) 限制。

以下說明兩種有風險的系統:

  • 網頁瀏覽案例 使用者必須登入,並使用能具現化 XBAP 的網頁瀏覽器來造訪網站,才能成功利用此弱點。因此常使用網頁瀏覽器的系統 (例如工作站或終端伺服器) 的風險最大。如果系統管理員允許使用者在伺服器上瀏覽和閱讀電子郵件,則伺服器可能會遭受更大的風險。然而,最佳實務強烈建議您制止這種行為。
  • Windows .NET 應用程式 執行不可信的 Windows .NET Framework 應用程式的工作站與伺服器,也蒙受此弱點的風險。

此更新可修正 .NET Framework 複製記憶體中物件的方式,進而解決此項弱點。此弱點已經公開揭發。這項弱點已被指派一般性弱點編號 CVE-2015-2504。原始發行此公告時,Microsoft 並未發現任何嘗試利用此弱點的攻擊。

緩和因素

Microsoft 尚未找到此項弱點的任何緩和因素

因應措施

Microsoft 尚未找到此項弱點的任何因應措施

MVC 阻斷服務弱點 - CVE-2015-2526

當 .NET 無法正確處理某些蓄意製作的要求時,即存在阻斷服務 (DoS) 弱點。成功利用此弱點的攻擊者可能會將一些蓄意製作的要求傳送至 ASP.NET 伺服器,造成效能明顯下降,且足以導致阻斷服務 (DoS) 情況。

攻擊者可以利用這項弱點發動阻斷服務 (DoS) 攻擊,擾亂使用 ASP.NET 的網站的可用性。已安裝 ASP.NET 之網際網路對向系統受到此弱點影響的風險最高。使用 ASP.NET 的內部網站也可能會因為這個弱點而承受風險。此更新藉由修正 .NET Framework 處理蓄意製作之要求的方式,進而解決此弱點。

Microsoft 是經由協同合作的來源接獲有關此弱點的訊息。本資訊安全公告發行時,Microsoft 尚未接到任何有關本弱點已公開用來攻擊客戶的消息。

緩和因素

Microsoft 尚未找到此項弱點的任何緩和因素

因應措施

Microsoft 尚未找到此項弱點的任何因應措施

安全性更新部署

如需安全性更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。

致謝

Microsoft 了解資訊安全業界所做的努力,其盡責地透露弱點來協助我們保護客戶。請參閱致謝 (英文) 以取得詳細資訊。  

免責聲明

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

  • V1.0 (2015 年 9 月 8 日):公告發行。
  • V1.1 (2015 年 9 月 25 日):由於本資訊安全佈告欄中所說明的風險並未影響 Windows Server Technical Preview 3,因此「受影響的軟體」表已將其自註腳中移除。這只是資訊的變更。已成功更新系統的客戶不必採取任何行動。
  • V1.2 (2016 年 2 月 9 日):修訂公告以宣佈 NET Framework 4.6 的 3074554 更新的偵測變更。這只是資訊的變更。已成功更新系統的客戶不必採取任何行動。

頁面產生時間:04.02.2016 г. 上午 11:08:00-08:00。