Microsoft 安全性佈告欄 MS16-093 - 重大

  • 發行項

Adobe Flash Player (3174060) 的安全性更新

發行日期:2016 年 7 月 12 日

版本: 1.0

執行摘要

此安全性更新會在所有支援的 Windows 8.1 版本、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1 和 Windows 10 上安裝時,解決 Adobe Flash Player 中的弱點。

此安全性更新已評等為 [重大]。 更新會藉由更新 Internet Explorer 10、Internet Explorer 11 和 Microsoft Edge 中包含的受影響 Adobe Flash 程式庫,解決 Adobe Flash Player 中的弱點。 如需詳細資訊,請參閱 受影響的軟體 一節。

如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章3174060

弱點資訊

此安全性更新可解決下列弱點,如 Adobe 安全性佈告欄 APSB16-25所述:

CVE-2016-4173、CVE-2016-4174、CVE-2016-4175、CVE-2016-4176、CVE-2016-4177、 CVE-2016-4178、CVE-2016-4179、CVE-2016-4182、CVE-2016-4188、CVE-2016-4185、CVE-2016-4222、CVE-2016-4223、 CVE-2016-4224、CVE-2016-4225、CVE-2016-4226、CVE-2016-4227、CVE-2016-4228、CVE-2016-4229、 CVE-2016-4230、CVE-2016-4231、CVE-2016-4232、CVE-2016-4247、CVE-2016-4248、CVE-2016-4249

受影響的軟體

下列軟體版本或版本受到影響。 未列出的版本或版本已超過其支援生命週期,或不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱Microsoft 支援服務生命週期

作業系統 元件 匯總嚴重性和影響 更新已取代*
Windows 8.1
32 位系統的 Windows 8.1 Adobe Flash Player (3174060) 關鍵 遠端程式碼執行 MS16-083中的3167685
x64 型系統的 Windows 8.1 Adobe Flash Player (3174060) 關鍵 遠端程式碼執行 MS16-083中的3167685
Windows Server 2012 和 Windows Server 2012 R2
Windows Server 2012 Adobe Flash Player (3174060) 溫和 遠端程式碼執行 MS16-083中的3167685
Windows Server 2012 R2 Adobe Flash Player (3174060) 溫和 遠端程式碼執行 MS16-083中的3167685
Windows RT 8.1
Windows RT 8.1[1] Adobe Flash Player (3174060) 關鍵 遠端程式碼執行 MS16-083中的3167685
Windows 10
32 位系統的 Windows 10[2] Adobe Flash Player (3174060) 關鍵 遠端程式碼執行 MS16-083中的3167685
x64 型系統的 Windows 10[2] Adobe Flash Player (3174060) 關鍵 遠端程式碼執行 MS16-083中的3167685
Windows 10 32 位系統的 1511 版[2] Adobe Flash Player (3174060) 關鍵 遠端程式碼執行 MS16-083中的3167685
Windows 10 x64 型系統的 1511 版[2] Adobe Flash Player (3174060) 關鍵 遠端程式碼執行 MS16-083中的3167685

[1]此更新可透過Windows Update取得。

[2]Windows 10更新的 Adobe Flash Player 更新可透過Windows UpdateMicrosoft Update Catalog取得。

注意此公告中所討論的弱點會影響 technical Preview 4 和 Windows Server 2016 Technical Preview 5 Windows Server 2016。 匯總嚴重性評等為 「重大」,且影響為「中等」、「遠端程式碼執行」。 Windows Server 2016 Technical Preview 5 可透過Windows Update取得更新。 不過,Windows Server 2016 Technical Preview 4 沒有可用的更新。 為了防範弱點,Microsoft 建議執行 Windows Server 2016 Technical Preview 4 的客戶升級至 Windows Server 2016 Technical Preview 5。

*更新取代的資料行只會顯示任何已取代更新鏈結中的最新更新。 如需已取代的更新完整清單,請移至 Microsoft Update Catalog,搜尋更新 KB 編號,然後在 [套件詳細資料] 索引標籤上提供更新詳細資料, (更新取代的資訊) 。

常見問題集

攻擊者如何利用這些弱點?
在使用者正在使用Internet Explorer (傳統型) 的 Web 型攻擊案例中,攻擊者可以裝載特別製作的網站,其設計目的是透過 Internet Explorer 利用上述任何弱點,然後讓使用者檢視網站。 攻擊者也可以在裝載 IE 轉譯引擎的應用程式或 Microsoft Office 檔中內嵌標示為「安全初始化」的 ActiveX 控制項。 攻擊者也可以利用遭入侵的網站,以及接受或裝載使用者提供的內容或廣告的網站。 這些網站可能包含特別製作的內容,這些內容可能會利用上述任何弱點。 不過,在所有情況下,攻擊者都無法強制使用者檢視攻擊者控制的內容。 相反地,攻擊者必須說服使用者採取動作,通常是按一下電子郵件訊息中的連結,或在將使用者帶往攻擊者網站的 Instant Messenger 訊息中,或開啟透過電子郵件傳送的附件。

在使用者在 Windows 8 樣式 UI 中使用 Internet Explorer 的 Web 型攻擊案例中,攻擊者必須先入侵已在相容性檢視 (CV) 清單中所列的網站。 攻擊者接著可以裝載包含特別製作 Flash 內容的網站,其設計目的是透過 Internet Explorer 惡意探索這些弱點,然後讓使用者檢視網站。 攻擊者無法強制使用者檢視攻擊者控制的內容。 相反地,攻擊者必須說服使用者採取動作,通常是按一下電子郵件訊息中的連結,或在將使用者帶往攻擊者網站的 Instant Messenger 訊息中,或開啟透過電子郵件傳送的附件。 如需 Internet Explorer 和 CV 清單的詳細資訊,請參閱 MSDN 文章、 Windows 8 中 Adobe Flash Player 內容的網站開發人員指引

緩和因素

風險降低是指預設狀態中現有的設定、一般設定或一般最佳做法,這可能會降低弱點惡意探索的嚴重性。 下列緩和因素可能會在您的情況中有所説明:

  • 在使用者正在使用Internet Explorer (傳統型) 的 Web 型攻擊案例中,攻擊者可以裝載包含用來利用這些弱點之網頁的網站。 此外,接受或裝載使用者提供內容或廣告的網站,可能會包含特別製作的內容,這些內容可能會利用這些弱點。 不過,在所有情況下,攻擊者都無法強制使用者流覽這些網站。 相反地,攻擊者必須說服使用者流覽網站,通常是藉由讓他們按一下電子郵件訊息或將使用者帶至攻擊者網站的 Instant Messenger 訊息連結。
  • Windows 8 樣式 UI 中的 Internet Explorer 只會播放來自相容性檢視 (CV) 清單所列網站的 Flash 內容。 此限制需要攻擊者先入侵已列在 CV 清單上的網站。 攻擊者接著可以裝載特別製作的 Flash 內容,其設計目的是透過 Internet Explorer 惡意探索這些弱點,然後讓使用者檢視網站。 攻擊者無法強制使用者檢視攻擊者控制的內容。 相反地,攻擊者必須說服使用者採取動作,通常是按一下電子郵件訊息中的連結,或在將使用者帶往攻擊者網站的 Instant Messenger 訊息中,或開啟透過電子郵件傳送的附件。
  • 根據預設,所有支援的 Microsoft Outlook 和 Windows Live Mail 版本都會在受限制的網站區域中開啟 HTML 電子郵件訊息。 停用腳本和 ActiveX 控制項的受限制網站區域有助於降低攻擊者能夠使用這些弱點執行惡意程式碼的風險。 如果使用者按一下電子郵件訊息中的連結,使用者仍可能會透過 Web 型攻擊案例,遭受這些弱點的惡意探索。
  • 根據預設,Windows Server 2012 和 Windows Server 2012 R2 上的 Internet Explorer 會以稱為 增強式安全性設定的受限制模式執行。 此模式有助於降低 Internet Explorer 中這些 Adobe Flash Player 弱點的惡意探索的可能性。

因應措施

因應措施是指設定或設定變更,有助於在套用更新之前封鎖已知的攻擊媒介。

  • 防止 Adobe Flash Player 執行

    您可以停用在 Internet Explorer 中具現化 Adobe Flash Player 的嘗試,以及其他接受終止位功能的應用程式,例如 Office 2007 和 Office 2010,方法是在登錄中設定控制項的終止位。

    警告 如果您不正確地使用登錄編輯程式,可能會造成可能需要重新安裝作業系統的嚴重問題。 Microsoft 無法保證可以解決未正確使用登錄編輯程式所造成的問題。 您必須自行負擔使用「登錄編輯程式」的風險。

    若要在登錄中設定 控制項的終止位,請執行下列步驟:

    1. 將下列內容貼到文字檔中,並以 .reg 副檔名儲存它。

          Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400

    2. 按兩下 .reg 檔案,將其套用至個別系統。 您也可以使用 群組原則,跨網域套用此因應措施。 如需群組原則的詳細資訊,請參閱 TechNet 文章群組原則集合

    注意 您必須重新開機 Internet Explorer,變更才會生效。

    因應措施的影響。 只要物件不是用於 Internet Explorer,就不會有任何影響。

    如何復原因應措施。 刪除實作此因應措施時新增的登錄機碼。

** **

  • 防止 Adobe Flash Player 在 Internet Explorer 中透過 群組原則

    注意群組原則 MMC 嵌入式管理單元可用來設定電腦、組織單位或整個網域的原則。 如需群組原則的詳細資訊,請流覽下列 Microsoft 網站:

    群組原則概觀

    什麼是群組原則物件編輯器?

    核心群組原則工具和設定

    若要透過 群組原則 停用 Internet Explorer 中的 Adobe Flash Player,請執行下列步驟:

    注意 此因應措施不會防止從其他應用程式叫用 Flash,例如 Microsoft Office 2007 或 Microsoft Office 2010。

    1. 開啟 群組原則 管理主控台,並將主控台設定為使用適當的群組原則物件,例如本機電腦、OU 或網域 GPO。
    2. 流覽至下列節點:系統管理範本-Windows 元件- >>Internet Explorer - >安全性功能- >附加元件管理
    3. 按兩下 [關閉 Internet Explorer 中的 Adobe Flash],並防止應用程式使用 Internet Explorer 技術具現化 Flash 物件
    4. 將設定變更為 [已啟用]。
    5. 按一下 [套用],然後按一下 [確定] 返回群組原則管理主控台。
    6. 在所有系統上重新整理群組原則,或等候下一個排程群組原則重新整理間隔,設定才會生效。

** **

  • 防止 Adobe Flash Player 在受影響的系統上在 Office 2010 中執行

    注意 此因應措施不會防止 Adobe Flash Player 在 Internet Explorer 中執行。

    警告 如果您不正確地使用登錄編輯程式,可能會造成可能需要重新安裝作業系統的嚴重問題。 Microsoft 無法保證可以解決未正確使用登錄編輯程式所造成的問題。 您必須自行負擔使用「登錄編輯程式」的風險。

    如需可用來防止控制項在 Internet Explorer 中執行的詳細步驟,請參閱 Microsoft 知識庫文章240797。 請遵循本文中的步驟,在登錄中建立相容性旗標值,以防止在 Internet Explorer 中具現化 COM 物件。

    若要僅停用 Office 2010 中的 Adobe Flash Player,請使用下列步驟,為登錄中的 Adobe Flash Player 設定 ActiveX 控制項的終止位:

    1. 使用下列內容建立名為 Disable_Flash.reg 的文字檔:

          Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400

    2. 按兩下 .reg 檔案,將其套用至個別系統。

    3. 注意 您必須重新開機 Internet Explorer,變更才會生效。

      您也可以使用 群組原則,跨網域套用此因應措施。 如需群組原則的詳細資訊,請參閱 TechNet 文章群組原則集合

 

  • 防止 ActiveX 控制項在 Office 2007 和 Office 2010 中執行

    若要停用 Microsoft Office 2007 和 Microsoft Office 2010 中的所有 ActiveX 控制項,包括 Internet Explorer 中的 Adobe Flash Player,請執行下列步驟:

    1. 依序按一下 [ 檔案]、[ 選項]、[ 信任中心] 和 [ 信任中心設定]。
    2. 按一下左側窗格中的 [ActiveX 設定 ],然後選取 [ 停用所有控制項而不通知]。
    3. 按一下 [確定] 儲存設定。

    因應措施的影響。 使用內嵌 ActiveX 控制項的 Office 檔可能不會如預期般顯示。

    如何復原因應措施。

    若要在 Microsoft Office 2007 和 Microsoft Office 2010 中重新啟用 ActiveX 控制項,請執行下列步驟:

    1. 依序按一下 [ 檔案]、[ 選項]、[ 信任中心] 和 [ 信任中心設定]。
    2. 按一下左側窗格中的 [ActiveX 設定 ],然後取消選取 [ 停用所有沒有通知的控制項]。
    3. 按一下 [確定] 儲存設定。

 

  • 將網際網路和本機內部網路安全性區域設定設定設為「高」,以封鎖這些區域中的 ActiveX 控制項和作用中腳本

    您可以藉由變更網際網路安全性區域的設定來封鎖 ActiveX 控制項和 Active Scripting,以協助防範這些弱點的惡意探索。 您可以將瀏覽器安全性設定為 [高] 來執行此動作。

    若要在 Internet Explorer 中提高流覽安全性層級,請執行下列步驟:

    1. 在 [Internet Explorer 工具] 功能表上,按一下 [網際網路選項]。
    2. 在 [ 網際網路選項] 對話方塊中,按一下 [ 安全性 ] 索引標籤,然後按一下 [ 網際網路]。
    3. [此區域的安全性層級] 底下,將滑杆移至 [高]。 這會為您流覽至 [高] 的所有網站設定安全性層級。
    4. 按一下 [本機內部網路]。
    5. [此區域的安全性層級] 底下,將滑杆移至 [高]。 這會為您流覽至 [高] 的所有網站設定安全性層級。
    6. 按一下 [確定 ] 接受變更,並返回 Internet Explorer。

    注意 如果沒有顯示滑杆,請按一下 [預設層級],然後將滑杆移至 [高]。

    注意 將層級設定為 [高] 可能會導致某些網站運作不正確。 如果您在變更此設定之後難以使用網站,而且確定網站是安全的,您可以將該網站新增至信任的網站清單。 這可讓網站正常運作,即使安全性設定設為 [高]。

    因應措施的影響。 封鎖 ActiveX 控制項和作用中腳本會有副作用。 網際網路或內部網路上的許多網站都使用 ActiveX 或 Active Scripting 來提供其他功能。 例如,線上電子商務網站或銀行網站可能會使用 ActiveX 控制項來提供功能表、訂購表單或甚至是帳戶聲明。 封鎖 ActiveX 控制項或 Active Scripting 是會影響所有網際網路和內部網路網站的全域設定。 If you do not want to block ActiveX Controls or Active Scripting for such sites, use the steps outlined in "Add sites that you trust to the Internet Explorer Trusted sites zone".

  • 設定 Internet Explorer 以在執行 Active Scripting 之前提示,或停用網際網路和本機內部網路安全性區域中的作用中腳本

    您可以藉由將設定變更為提示,再執行 Active Scripting 或停用網際網路和本機內部網路安全性區域中的作用中腳本,以協助防範這些弱點的惡意探索。 若要這樣做,請執行下列步驟:

    1. 在 Internet Explorer 中,按一下 [工具] 功能表上的 [網際網路選項]。
    2. 按一下 [安全性] 索引標籤。
    3. 按一下 [網際網路],然後按一下 [ 自訂層級]。
    4. 在 [ 設定] 底下的 [ 腳本] 區段中,按一下 [ 作用中腳本]底下的 [提示] **或 [ 停用],然後按一下 [ 確定]。
    5. 按一下 [本機內部網路],然後按一下 [ 自訂層級]。
    6. 在 [ 設定] 底下的 [ 腳本] 區段中,按一下 [ 作用中腳本]底下的 [提示] **或 [ 停用],然後按一下 [ 確定]。
    7. 按一下 [確定 ] 返回 Internet Explorer,然後按一下 [ 確定 ]。

    注意 停用網際網路和本機內部網路安全性區域中的作用中腳本可能會導致某些網站運作不正確。 如果您在變更此設定之後難以使用網站,而且確定網站是安全的,您可以將該網站新增至信任的網站清單。 這可讓網站正常運作。

    因應措施的影響。 在執行作用中腳本之前,提示會有副作用。 許多位於網際網路或內部網路上的網站都會使用 Active Scripting 來提供其他功能。 例如,線上電子商務網站或銀行網站可能會使用 Active Scripting 來提供功能表、訂購表單或甚至是帳戶聲明。 在執行作用中腳本之前提示是會影響所有網際網路和內部網路網站的全域設定。 當您啟用此因應措施時,系統會經常提示您。 對於每個提示,如果您覺得信任您流覽的網站,請按一下 [ ] 以執行作用中的腳本。 If you do not want to be prompted for all these sites, use the steps outlined in "Add sites that you trust to the Internet Explorer Trusted sites zone".

  • 將您信任的網站新增至 Internet Explorer 信任的網站區域

After you set Internet Explorer to require a prompt before it runs ActiveX controls and Active Scripting in the Internet zone and in the Local intranet zone, you can add sites that you trust to the Internet Explorer Trusted sites zone. This will allow you to continue to use trusted websites exactly as you do today, while helping to protect you from this attack on untrusted sites. We recommend that you add only sites that you trust to the Trusted sites zone.

To do this, perform the following steps:

1.  In Internet Explorer, click **Tools**, click **Internet Options**, and then click the **Security** tab.
2.  In the **Select a web content zone to specify its current security settings** box, click **Trusted Sites**, and then click **Sites**.
3.  If you want to add sites that do not require an encrypted channel, click to clear the **Require server verification (https:) for all sites in this zone** check box.
4.  In the **Add this website to the zone** box, type the URL of a site that you trust, and then click **Add**.
5.  Repeat these steps for each site that you want to add to the zone.
6.  Click **OK** two times to accept the changes and return to Internet Explorer.

**Note** Add any sites that you trust not to take malicious action on your system. Two sites in particular that you may want to add are **\*.windowsupdate.microsoft.com** and **\*.update.microsoft.com**. These are the sites that will host the update, and they require an ActiveX control to install the update.

安全性更新部署

如需安全性更新部署資訊,請參閱執行摘要中所參考的 Microsoft 知識庫文章。

通知

Microsoft 會辨識安全性社群中協助我們透過協調弱點洩漏來保護客戶的工作。 如需詳細資訊 ,請參閱通知

免責聲明

Microsoft 知識庫中提供的資訊是以「原樣」提供,不含任何種類的保固。 Microsoft 會明確或隱含地拒絕所有擔保,包括適適性與適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都對任何損害負責,包括直接、間接、間接、衍生性、業務收益損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲得這類損害的可能性。 某些狀態不允許排除或限制衍生性或附帶損害的責任,因此可能不適用上述限制。

修訂記錄

  • V1.0 (2016 年 7 月 12 日) :佈告欄發佈。

頁面產生的 2016-07-07 10:53-07:00。