Microsoft 資訊安全公告 MS16-083 - 重大

Adobe Flash Player 的安全性更新 (3167685)

出版日期:2016 年 6 月 16 日

版本: 1.0

提要

當安裝於所有受支援版本的Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1 和 Windows 10,此安全性更新可解決 Adobe Flash Player 中的弱點。

此安全性更新的等級為「重大」。此更新可修正 Adobe Flash Player,並且更新在 Internet Explorer 10、Internet Explorer 11 和 Microsoft Edge 受影響的 Adobe Flash 程式庫,進而解決這些弱點。如需詳細資訊,請參閱受影響的軟體>一節。

如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章 3167685

[弱點資訊]

安全性更新可修正下列弱點,詳情請參閱 Adobe 資訊安全公告 APSB16-18

CVE-2016-4121, CVE-2016-4122, CVE-2016-4123, CVE-2016-4124, CVE-2016-4125, CVE-2016-4126, CVE-2016-4127, CVE-2016-4128, CVE-2016-4129, CVE-2016-4130, CVE-2016-4131, CVE-2016-4132, CVE-2016-4133, CVE-2016-4134, CVE-2016-4135, CVE-2016-4136, CVE-2016-4137, CVE-2016-4138, CVE-2016-4139, CVE-2016-4140, CVE-2016-4141, CVE-2016-4142, CVE-2016-4143, CVE-2016-4144, CVE-2016-4145, CVE-2016-4146, CVE-2016-4147, CVE-2016-4148, CVE-2016-4149, CVE-2016-4150, CVE-2016-4151, CVE-2016-4152, CVE-2016-4153, CVE-2016-4154, CVE-2016-4155, CVE-2016-4156, CVE-2016-4166, CVE-2016-4171

受影響的軟體

下列軟體版本會受到影響。未列出的版本可能已超出支援週期,或者不受影響。如需了解軟體版本支援週期的詳細資訊,請造訪 Microsoft 支援週期

**作業系統** **元件** **彙總嚴重性和影響** **已取代 更新**\*
**Windows 8.1**
適用於 32 位元系統的 Windows 8.1 [Adobe Flash Player](https://www.microsoft.com/zh-tw/download/details.aspx?id=52957) (3167685) **重大** 遠端執行程式碼 [MS16-064](https://technet.microsoft.com/zh-tw/library/security/ms16-064) 中的 3163207
適用於 64 位元系統的 Windows 8.1 [Adobe Flash Player](https://www.microsoft.com/zh-tw/download/details.aspx?id=52274) (3167685) **重大** 遠端執行程式碼 [MS16-064](https://technet.microsoft.com/zh-tw/library/security/ms16-064) 中的 3163207
**Windows 2012 和 Windows Server 2012 R2**
Windows Server 2012 [Adobe Flash Player](https://www.microsoft.com/zh-tw/download/details.aspx?id=52275) (3167685) **中度** 遠端執行程式碼 [MS16-064](https://technet.microsoft.com/zh-tw/library/security/ms16-064) 中的 3163207
Windows Server 2012 R2 [Adobe Flash Player](https://www.microsoft.com/zh-tw/download/details.aspx?id=52272) (3167685) **中度** 遠端執行程式碼 [MS16-064](https://technet.microsoft.com/zh-tw/library/security/ms16-064) 中的 3163207
**Windows RT 8.1**
Windows RT 8.1[1] Adobe Flash Player (3167685) **重大** 遠端執行程式碼 [MS16-064](https://technet.microsoft.com/zh-tw/library/security/ms16-064) 中的 3163207
**Windows 10**
用於 32 位元系統的 Windows 10[2] Adobe Flash Player (3167685) **重大** 遠端執行程式碼 [MS16-064](https://technet.microsoft.com/zh-tw/library/security/ms16-064) 中的 3163207
適用於 64 位元系統的 Windows 10[2] Adobe Flash Player (3167685) **重大** 遠端執行程式碼 [MS16-064](https://technet.microsoft.com/zh-tw/library/security/ms16-064) 中的 3163207
適用於 32 位元系統的 Windows 10 1511 版[2] Adobe Flash Player (3167685) **重大** 遠端執行程式碼 [MS16-064](https://technet.microsoft.com/zh-tw/library/security/ms16-064) 中的 3163207
適用於 64 位元系統的 Windows 10 1511 版[2] Adobe Flash Player (3167685) **重大** 遠端執行程式碼 [MS16-064](https://technet.microsoft.com/zh-tw/library/security/ms16-064) 中的 3163207
[1]更新僅透過 [Windows Update](https://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=zh-tw) 提供。

Windows 10 更新中的[2] Adobe Flash Player 更新可透過 Windows Update 或透過 Microsoft Update Catalog.取得。

注意  Windows Server 2016 Technical Preview 5 受到影響;彙總嚴重性等級為「重大」,影響為「中等」,為遠端執行程式碼。建議執行本作業系統的客戶透過 Windows Update 套用可用的更新。

*已取代更新欄位僅顯示所有已取代更新鏈結中的最新更新。如需完整的已取代更新清單,請前 Microsoft Update Catalog,搜尋更新知識庫文章編號,然後檢視更新詳細資料 (已取代更新資訊位於 [套件詳細資料] 索引標籤)。

常見問題集

攻擊者可能會如何利用這些弱點?
在網頁式攻擊案例中,當使用者正在桌面使用 Internet Explorer,攻擊者可架設一個蓄意製作的網站,專門為透過 Internet Explorer 利用任一弱點而設計,然後引誘使用者瀏覽該網站。攻擊者也可在主控 IE 轉譯引擎的應用程式或 Microsoft Office 文件中內嵌 ActiveX 控制項,並標示為「可安全初始化」。攻擊者也可利用被駭網站,以及接受或加載使用者提供之內容或廣告的網站。這些網站可能含有蓄意製作的內容,以利用這些弱點。不過,在任何案例中,攻擊者無法強迫使用者檢視攻擊者控制的內容。而是引誘使用者自行前往,一般的做法是設法讓使用者點選電子郵件或 Instant Messenger 訊息中通往攻擊者網站的連結,或設法讓使用者開啟經由電子郵件傳送的附件。

在網頁式攻擊案例中,當使用者正在 Windows 8 UI 使用 Internet Explorer,攻擊者首先必須駭入已列入相容性檢視 (CV) 清單中的網站。接著攻擊者可以架設一個網站,其中含有蓄意製作的 Flash 內容,專門為透過 Internet Explorer 利用任一弱點而設計,然後引誘使用者瀏覽該網站。攻擊者無法強迫使用者檢視攻擊者控制的內容。而是引誘使用者自行前往,一般的做法是設法讓使用者點選電子郵件或即時訊息中通往攻擊者網站的連結,或設法讓使用者開啟經由電子郵件傳送的附件。如需有關 Internet Explorer 和 CV 清單的詳細資訊,請參閱下列 MSDN 文章:Developer Guidance for websites with content for Adobe Flash Player in Windows 8

緩和因素

緩和防護指的是設定、常見設定或預設狀態下的一般最佳實務,可降低弱點遭利用的嚴重性。下列緩和因素可能有助於您解決問題:

  • 在網頁式攻擊案例中,當使用者正在桌面使用 Internet Explorer,攻擊者可架設一個網站,並在新增為了利用這些弱點而製作的網頁。此外,被駭網站和接受或加載使用者提供之內容或廣告的網站,可能含有蓄意製作的內容,以利用這些弱點。不過,在任何案例中,攻擊者無法強迫使用者造訪這些網站。而是引誘使用者自行前往,一般的做法是設法讓使用者按一下電子郵件或即時訊息中通往攻擊者網站的連結。
  • 在 Windows 8 UI 中的 Internet Explorer,僅會顯示已列入相容性檢視 (CV) 清單中的網站 Flash 內容。這項限制使得攻擊者首先必須駭入已列入 CV 清單中的網站。接著攻擊者可以載入蓄意製作的 Flash 內容,專門為透過 Internet Explorer 利用任一弱點而設計,然後引誘使用者瀏覽該網站。攻擊者無法強迫使用者檢視攻擊者控制的內容。而是引誘使用者自行前往,一般的做法是設法讓使用者點選電子郵件或即時訊息中通往攻擊者網站的連結,或設法讓使用者開啟經由電子郵件傳送的附件。
  • 根據預設,所有支援的 Microsoft Outlook 和 Windows Live Mail 會在「限制的網站」區域中開啟 HTML 郵件。「限制的網站」區域會停用指令碼和 ActiveX 控制項,協助降低攻擊者利用這些弱點執行惡意程式碼的風險。如果使用者點選電子郵件的連結,這些弱點仍然容易遭到利用,而受到網頁式攻擊。
  • 根據預設,Windows Server 2012 和 Windows Server 2012 R2 會以增強式安全性設定執行 Internet Explorer。此模式可協助降低在 Internet Explorer 中 Adobe Flash Player 弱點遭到利用的風險。

因應措施

因應措施指的是設定或設定變更,有助於您在套用升級前,先封鎖已知攻擊媒介。

  • 防止 Adobe Flash Player 執行

    您可以停用 Adobe Flash Player 的初始化服務,包括在 Internet Explorer 和其他具備刪除位元功能的應用程式,例如 Office 2007 和 Office 2010,可從登錄中為控制設定刪除位元。

    警告 不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。

    如果要從登錄中為控制設定刪除位元,請執行下列步驟:

    1. 將下列文字複製並貼到文字檔案,並且以.reg 副檔名儲存檔案。

      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
    2. 按兩下.reg 檔案以套用至個別系統。 您也可以使用「群組原則」,將此因應措施跨網域套用。如需有關「群組原則」的詳細資訊,請參閱 TechNet 文件:群組原則集合

    注意 您必須重新啟動 Internet Explorer,變更才會生效。

    因應措施的影響。只要物件沒有在 Internet Explorer 中使用,就不有影響。

    如何復原因應措施。 刪除為實行因應措施而新增的登錄機碼。

  • 透過群組原則防止 Adobe Flash Player 執行

    注意 「群組原則」MMC 嵌入式管理單元可用於設定電腦、組織單位或整個網域的功能。如需有關「群組原則」的詳細資訊,請造訪下列 Microsoft 網站:

    群組原則概觀

    什麼是「群組原則物件編輯器」?

    核心群組原則工具及設定 (英文)

    如果要透過群組原則停用 Internet Explorer 中的 obe Flash Player,請執行下列步驟:

    注意 這項因應措施無法防止 Flash 因其他應用程式啟用,例如 icrosoft Office 2007 或 icrosoft Office 2010。

    1. 開啟「群組原則管理主控台」,設定要用於適當群組原則物件的主控台,例如本機電腦、組織單位、網域群組原則物件。
    2. 瀏覽至下列節點: 系統管理範本 -> Windows 元件 -> Internet Explorer -> 資訊安全功能 -> 附加元件管理
    3. 按兩下關閉 Internet Explorer 中的 Adobe Flash,並且防止應用程式利用 Internet Explorer 技術初始化 Adobe Flash 物件
    4. 將設定變更為啟用
    5. 按一下套用,再按一下確定,然後返回「群組原則管理主控台」。
    6. 在所有系統重新整理群組原則,或是等候下次排程群組原則更新的間隔時間,設定才能生效。
  • 防止 Adobe Flash Player 在受影系統中的 Office 2010 執行

    注意 這項因應措施無法防止 Adobe Flash Player 在 Internet Explorer 中執行。

    警告 不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。

    可防止控制項在 Internet Explorer 中執行的詳細步驟,請參閱Microsoft 知識庫文章 240797。請執行文章中的步驟,以在登錄中建立「相容性旗標」值,防止 COM 物件在 Internet Explorer 中初始化。

    如果僅要停用 Office 2010 中的 Adobe Flash Player,從登錄中為 Adobe Flash Player ActiveX 控制項設定刪除位元,請執行下列步驟:

    1. 使用下列內容建立檔名為 Disable_Flash.reg 的文字檔案:

      Windows Registry Editor Version 5.00
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
      "Compatibility Flags"=dword:00000400
      
    2. 按兩下.reg 檔案以套用至個別系統。

    3. 注意 您必須重新啟動 Internet Explorer,變更才會生效。

      您也可以使用「群組原則」,將此因應措施跨網域套用。如需有關「群組原則」的詳細資訊,請參閱 TechNet 文件:群組原則集合

 

  • 防止 ActiveX 控制項在 Office 2007 和 Office 2010 中執行

    如果要停用 Office 2007 和 Office 2010 中所有的 ActiveX 控制項,包含 Internet Explorer 中的 Adobe Flash Player,請執行下列步驟:

    1. 按一下檔案,按一下選項,再按一下信任中心設定
    2. 按一下左邊窗格的 ActiveX 設定,再選取停用所有控制項 (不事先通知)
    3. 按一下確定以儲存設定。

    因應措施的影響。 使用內嵌 ActiveX 控制項的 Office 文件可能無法如預期般顯示。

    如何復原因應措施。

    如果要重新啟用 Office 2007 和 Office 2010 中的 ActiveX 控制項,請執行下列步驟:

    1. 按一下檔案,按一下選項,按一下信任中心,再按一下信任中心設定
    2. 按一下左邊窗格的 ActiveX 設定,再取消選取停用所有控制項 (不事先通知)
    3. 按一下確定以儲存設定。

 

  • 將網際網路和近端內部網路安全性區域設定為「高」,封鎖區域內的 ActiveX 控制項和動態指令碼處理。

    您可以改變網際網路安全性區域設定,封鎖 ActiveX 控制項和動態指令碼處理,協助保護這些弱點不被利用。您可以將瀏覽器安全層級設定為「高」以保護弱點。

    如果要調高網際網路安全層級,請執行下列步驟:

    1. 在 Internet Explorer 工具功能表上,按一下網際網路選項
    2. 網際網路選項對話方塊中,按一下 安全性索引標籤,然後按一下網際網路
    3. 此區域的安全層級下方,將滑桿移至高安全性。此設定可以將您造訪的所有網站安全性層級升至「高安全性」。
    4. 按一下近端內部網路
    5. 此區域的安全層級下方,將滑桿移至高安全性。此設定可以將您造訪的所有網站安全性層級升至「高安全性」。
    6. 按一下確定接受變更並返回 Internet Explorer。

    注意 如果滑桿沒有顯示,按一下預設層級,接著將滑桿移至高安全性

    注意 將層級設定為高安全性可能導致網站無法正確運作。如果您變更此設定後,使用網頁遇到問題,且確定此網站可安全使用,您可以將網站新增信任的網站清單。此舉可讓網站在安全性層級設定為「高」時,仍然能正常運作。

    因應措施的影響。 封鎖 ActiveX 控制項和動態指令碼處理會導致不良影響。網際網路或是內部網路的許多網站皆有使用 ActiveX 控制項和動態指令碼,以提供額外功能。例如,線上電子商務網站或銀行網站可能會使用 ActiveX 控制項提供功能表、訂單表格、或甚至對帳單功能。封鎖 ActiveX 控制項或動態指令碼為通用設定,會影響所有網際網路或是內部網路網站。如果您不想封鎖上述網站的 ActiveX 控制項或動態指令碼,請執行「將信任網站新增 Internet Explorer 信任的網站區域」中的步驟。

  • 設定網際網路或是內部網路安全性區域內,Internet Explorer 在執行或停用動態指令碼前先提示。

    您可以變更設定網際網路或是內部網路安全性區域內,Internet Explorer 在執行或停用動態指令碼前先提示,協助保護弱點不被利用。如果要執行這項操作,請依照下列步驟執行:

    1. 在 Internet Explorer 中,工具功能表中的網際網路選項
    2. 按一下安全性索引標籤。
    3. 按一下網際網路,然後按一下 自訂層級
    4. 設定指令碼處理區段的動態指令碼,點一下提示停用,接著點一下確定
    5. 按一下近端內部網路,然後按一下 自訂層級
    6. 設定指令碼處理區段的動態指令碼,點一下提示停用,接著點一下確定
    7. 按一下確定返回 Internet Explorer,接著再按一下確定

    注意 在網際網路或是內部網路安全性區域內停用動態指令碼,可能導致部份網站無法正確運作。如果您變更此設定後,使用網頁遇到問題,且確定此網站可安全使用,您可以將網站新增信任的網站清單。使網站正確運作。

    因應措施的影響。 執行動態指令碼之前提示會導致不良影響。網際網路或是內部網路的許多網站皆有使用動態指令碼,以提供額外功能。例如,線上電子商務網站或銀行網站可能會使用 動態指令碼提供功能表、訂單表格、或甚至對帳單功能。執行動態指令碼前提示為通用設定,會影響所有網際網路或是內部網路網站。當您啟用這項因應措施,將會時常收到提示。每此出現提示時,如果您信任造訪的網站,請按一下以執行動態指令碼。如果您不想在所有上述網站都收到提示,請執行「將信任網站新增 Internet Explorer 信任的網站區域」中的步驟。

  • 將信任網站新增至 Internet Explorer 「信任的網站」區域

    您在網際網路或是內部網路區域內,將 Internet Explorer 設定為執行 ActiveX 控制項或動態指令碼之前出現提示之後,您可以將信任網站新增 Internet Explorer 信任的網站區域。此設定可讓您以平常模式使用信任網站,同時協助保護您免於不受信任網站的攻擊。我們建議您只將信任網站新增信任的網站區域。

    如果要執行這項操作,請依照下列步驟執行:

    1. 在 Internet Explorer 中,按一下工具,按一下網際網路選項,再按一下安全性索引標籤。
    2. 您可以針對每一個網頁內容的「區域」指定個別的安全性方塊中,按一下信任的網站,然後按一下網站
    3. 如果您希望新增不需透過加密通道的網站,請按一下以清除 此區域內的所有網站需要伺服器驗證 (https:) 核取方塊。
    4. 將此網站加到該區域方塊中,輸入專案的 URL,然後按一下新增
    5. 針對要新增的每個網站,重複這些步驟。
    6. 按兩次確定接受變更並返回 Internet Explorer。

    注意新增您信任不會採與惡意行動的網站。您可能會希望新增以下兩個網站:*.windowsupdate.microsoft.com*.update.microsoft.com。上述網站將管理更新,且需要利用 ActiveX 控制項安裝更新。

安全性更新部署

如需安全性更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。

致謝

Microsoft 了解資訊安全業界所做的努力,其盡責地透露資訊安全風險來協助我們保護客戶。請參閱致謝以取得詳細資訊。

免責聲明

Microsoft 知識庫提供的資訊係依「現況」提供,不做任何保證。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

  • V1.0 (2016 年 6 月 16 日):公告發行。

頁面產生時間:2016-06-06下午 02:43-07:00。