Microsoft 安全性佈告欄 MS17-013 - 重大
Microsoft Graphics 元件的安全性更新 (4013075)
發行日期:2017 年 3 月 14 日 |更新日期:2017 年 5 月 9 日
版本: 3.0
執行摘要
此安全性更新可解決 Microsoft Windows、Microsoft Office、商務用 Skype、Microsoft Lync 和 Microsoft Silverlight 中的弱點。 如果使用者造訪特製的網站或開啟特別製作的檔,這些弱點最嚴重可能會允許遠端程式碼執行。 帳戶設定為具有較少使用者權限的使用者,與使用系統管理使用者權限的使用者相比,所受的影響可能較小。
此安全性更新已針對下列專案評分為重大:
- 所有支援的 Microsoft Windows 版本
- 受影響的 Microsoft Office 2007 和 Microsoft Office 2010 版本
- 受影響的版本 商務用 Skype 2016、Microsoft Lync 2013 和 Microsoft Lync 2010
- 受影響的 Silverlight 版本
安全性更新會修正軟體如何處理記憶體中的物件,以解決弱點。
如需詳細資訊,請參閱 受影響的軟體和弱點嚴重性評等 一節。
如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章4013075。
受影響的軟體和弱點嚴重性分級
下列軟體版本或版本會受到影響。 未列出的版本或版本會超過其支援生命週期,或不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱Microsoft 支援服務生命週期。
針對每個受影響的軟體所指出的嚴重性分級會假設弱點的潛在最大影響。 如需有關此安全性佈告欄發行 30 天內有關弱點惡意探索能力的相關資訊,以及其嚴重性評等和安全性影響,請參閱 3 月公告摘要中的惡意探索索引。
Microsoft Windows
| 作業系統 | Windows GDI 權限提高弱點 CVE-2017-0001CVE-2017-0005CVE-2017-0025CVE-2017-0047 | Windows GDI+ 資訊洩漏弱點 CVE-2017-0060CVE-2017-0062CVE-2017-0073 | Microsoft 色彩管理資訊洩漏弱點 - CVE-2017-0061 | Microsoft 色彩管理資訊洩漏弱點 - CVE-2017-0063 | Windows 圖形元件資訊洩漏弱點 - CVE-2017-0038 | Windows 圖形元件遠端程式碼執行弱點 - CVE-2017-0108 | Windows Graphics 元件遠端程式碼執行弱點 - CVE-2017-0014 | 已取代更新* |
|---|---|---|---|---|---|---|---|---|
| Windows Vista | ||||||||
| Windows Vista Service Pack 2 (4012583) | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 不適用 | 關鍵 遠端程式碼執行 | 不適用 | MS16-146中的3204724 |
| Windows Vista x64 Edition Service Pack 2 (4012583) | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 不適用 | 關鍵 遠端程式碼執行 | 不適用 | MS16-146中的3204724 |
| Windows Vista Service Pack 2 (4017018) | 不適用 | 不適用 | 不適用 | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 無 |
| Windows Vista x64 Edition Service Pack 2 (4017018) | 不適用 | 不適用 | 不適用 | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 無 |
| Windows Vista Service Pack 2 (4012584) | 不適用 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 不適用 | 不適用 | 無 |
| Windows Vista x64 Edition Service Pack 2 (4012584) | 不適用 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 不適用 | 不適用 | 無 |
| Windows Vista Service Pack 2 (4012497) | 重要 提高許可權 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | MS16-151中的3204723 |
| Windows Vista x64 Edition Service Pack 2 (4012497) | 重要 提高許可權 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | MS16-151中的3204723 |
| Windows Server 2008 | ||||||||
| Windows Server 2008 for 32 位系統 Service Pack 2 (4012583) | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 不適用 | 關鍵 遠端程式碼執行 | 不適用 | MS16-146中的3204724 |
| 適用于 x64 型系統的 Windows Server 2008 Service Pack 2 (4012583) | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 不適用 | 關鍵 遠端程式碼執行 | 不適用 | MS16-146中的3204724 |
| Windows Server 2008 for Itanium 型系統 Service Pack 2 (4012583) | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 不適用 | 關鍵 遠端程式碼執行 | 不適用 | MS16-146中的3204724 |
| Windows Server 2008 for 32 位 Systems Service Pack 2 (4017018) | 不適用 | 不適用 | 不適用 | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 無 |
| 適用于 x64 型系統的 Windows Server 2008 Service Pack 2 (4017018) | 不適用 | 不適用 | 不適用 | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 無 |
| Windows Server 2008 for Itanium 型系統 Service Pack 2 (4017018) | 不適用 | 不適用 | 不適用 | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 無 |
| Windows Server 2008 for Itanium 型系統 Service Pack 2 (4012583) | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 不適用 | MS16-146中的3204724 |
| Windows Server 2008 for 32 位 System Service Pack 2 (4012584) | 不適用 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 不適用 | 不適用 | 無 |
| 適用于 x64 型系統的 Windows Server 2008 Service Pack 2 (4012584) | 不適用 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 不適用 | 不適用 | 無 |
| Windows Server 2008 for Itanium 型系統 Service Pack 2 (4012584) | 不適用 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 不適用 | 不適用 | 無 |
| Windows Server 2008 for 32 位 System Service Pack 2 (4012497) | 重要 提高許可權 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | MS16-151中的3204723 |
| 適用于 x64 型系統的 Windows Server 2008 Service Pack 2 (4012497) | 重要 提高許可權 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | MS16-151中的3204723 |
| Windows Server 2008 for Itanium 型系統 Service Pack 2 (4012497) | 重要 提高許可權 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | MS16-151中的3204723 |
| Windows 7 | ||||||||
| 僅限 Windows 7 for 32 位系統 Service Pack 1 (4012212) 安全性[3] | 重要 提高許可權 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 關鍵 遠端程式碼執行 | 無 |
| Windows 7 for 32 位系統 Service Pack 1 (4012215) 每月匯總[3] | 重要 提高許可權 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 關鍵 遠端程式碼執行 | 3212646 |
| Windows 7 for x64 型系統 Service Pack 1 (4012212) 僅限安全性[3] | 重要 提高許可權 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 關鍵 遠端程式碼執行 | 無 |
| Windows 7 for x64 型系統 Service Pack 1 (4012215) 每月匯總[3] | 重要 提高許可權 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 關鍵 遠端程式碼執行 | 3212646 |
| Windows Server 2008 R2 | ||||||||
| Windows Server 2008 R2 for x64 型系統 Service Pack 1 (4012212) 僅限安全性[3] | 重要 提高許可權 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 關鍵 遠端程式碼執行 | 無 |
| 適用于 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (4012215) 每月匯總[3] | 重要 提高許可權 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 關鍵 遠端程式碼執行 | 3212646 |
| Windows Server 2008 R2 for Itanium 型系統 Service Pack 1 (4012212) 僅限安全性[3] | 重要 提高許可權 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 關鍵 遠端程式碼執行 | 無 |
| Windows Server 2008 R2 for Itanium 型系統 Service Pack 1 (4012215) 每月匯總[3] | 重要 提高許可權 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 關鍵 遠端程式碼執行 | 3212646 |
| Windows 8.1 | ||||||||
| 僅限 32 位系統的 Windows 8.1 (4012213) Security[3] | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 無 |
| 32 位系統的 Windows 8.1 (4012216) 每月匯總[3] | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3205401 |
| Windows 8.1 x64 型系統 (4012213) 僅限安全性[3] | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 無 |
| Windows 8.1 x64 型系統 (4012216) 每月匯總[3] | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3205401 |
| Windows Server 2012 和 Windows Server 2012 R2 | ||||||||
| 僅限 Windows Server 2012 (4012214) 安全性[3] | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 無 |
| Windows Server 2012 (4012217) 每月匯總[3] | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3205409 |
| 僅限 Windows Server 2012 R2 (4012213) 安全性[3] | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 無 |
| Windows Server 2012 R2 (4012216) 每月匯總[3] | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3205401 |
| Windows RT 8.1 | ||||||||
| Windows RT 8.1[1] (4012216) 每月匯總[3] | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3205401 |
| Windows 10 | ||||||||
| Windows 10 32 位 Systems[2] (4012606) | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3210720 |
| x64 型系統的Windows 10[2] (4012606) | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3210720 |
| Windows 10 32 位系統的 1511 版[2] (4013198) | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3210721 |
| x64 型系統的 Windows 10 版本 1511[2] (4013198) | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3210721 |
| Windows 10 32 位系統的 1607 版[2] (4013429) | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3213986 |
| x64 型系統的 Windows 10 版本 1607[2] (4013429) | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3213986 |
| Windows Server 2016 | ||||||||
| x64 型系統的Windows Server 2016 (4013429) | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 關鍵 遠端程式碼執行 | 3213986 |
| Server Core 安裝選項 | ||||||||
| Windows Server 2008 for 32 位系統 Service Pack 2 (Server Core 安裝) (4012583) | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 不適用 | MS16-146中的3204724 |
| 適用于 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) (4012583) | 不適用 | 重要 資訊洩漏 | 不適用 | 不適用 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 不適用 | MS16-146中的3204724 |
| Windows Server 2008 for 32 位系統 Service Pack 2 (Server Core 安裝) (4012584) | 不適用 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 不適用 | 不適用 | 無 |
| 適用于 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) (4012584) | 不適用 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 不適用 | 不適用 | 無 |
| Windows Server 2008 for 32 位系統 Service Pack 2 (Server Core 安裝) (4012497) | 重要 提高許可權 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | 無 |
| 適用于 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) (4012497) | 重要 提高許可權 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | 不適用 | 無 |
| Windows Server 2008 R2 for x64 型系統 Service Pack 1 (Server Core 安裝) (4012212) 僅限安全性[3] | 重要 提高許可權 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 關鍵 遠端程式碼執行 | 無 |
| 適用于 x64 型系統 Service Pack 1 的 Windows Server 2008 R2 (Server Core 安裝) (4012215) 每月匯總[3] | 重要 提高許可權 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 關鍵 遠端程式碼執行 | 3212646 |
| 僅限 Windows Server 2012 (Server Core 安裝) (4012214) [3] | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 無 |
| Windows Server 2012 (Server Core 安裝) (4012217) 每月匯總[3] | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 不適用 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3205409 |
| 僅限 Windows Server 2012 R2 (Server Core 安裝) (4012213) [3] | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 無 |
| Windows Server 2012 R2 (Server Core 安裝) (4012216) 每月匯總[3] | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3205401 |
| 適用于 x64 型系統的Windows Server 2016 (Server Core 安裝) (4013429) | 重要 提高許可權 | 重要 資訊洩漏 | 不適用 | 重要 資訊洩漏 | 重要 資訊洩漏 | 不適用 | 關鍵 遠端程式碼執行 | 3213986 |
[1]此更新僅適用于Windows Update。
[2]Windows 10更新是累計的。 每月安全性版本包含影響Windows 10之弱點的所有安全性修正程式,以及非安全性更新。 更新可透過 Microsoft Update Catalog取得。
[3]從 2016 年 10 月版本開始,Microsoft 正在變更 Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012 和 Windows Server 2012 R2 的更新服務模型。 如需詳細資訊,請參閱此 Microsoft TechNet 文章。
*更新取代的資料行只會顯示任何已取代更新鏈結中的最新更新。 如需已取代的更新完整清單,請移至 Microsoft Update Catalog,搜尋更新 KB 編號,然後在 [PackageDetails ] 索引標籤上提供更新詳細資料, (更新取代的資訊) 。
Microsoft Office
| 作業系統 | GDI+ 資訊洩漏弱點 - CVE-2017-0060 | GDI+ 資訊洩漏弱點 - CVE-2017-0073 | Windows 圖形元件遠端程式碼執行弱點 - CVE-2017-0108 | Windows 圖形元件遠端程式碼執行弱點 - CVE-2017-0014 | 更新已取代* |
|---|---|---|---|---|---|
| Microsoft Office 2007 | |||||
| Microsoft Office 2007 Service Pack 3 (3127945) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 不適用 | MS16-097中的3115109 |
| Microsoft Office 2007 Service Pack 3 (3141535) | 不適用 | 不適用 | 關鍵 遠端程式碼執行 | 不適用 | MS16-097中的3115109 |
| Microsoft Office 2010 | |||||
| Microsoft Office 2010 Service Pack 2 (32 位版本) (3127958) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 不適用 | MS16-097中的3115131 |
| Microsoft Office 2010 Service Pack 2 (64 位版本) (3127958) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 不適用 | MS16-097中的3115131 |
| Microsoft Office 2010 Service Pack 2 (32 位版本) (3178688) | 不適用 | 不適用 | 關鍵 遠端程式碼執行 | 關鍵 遠端程式碼執行 | MS16-148中的2889841 |
| Microsoft Office 2010 Service Pack 2 (64 位版本) (3178688) | 不適用 | 不適用 | 關鍵 遠端程式碼執行 | 關鍵 遠端程式碼執行 | MS16-148中的2889841 |
| 其他 Office 軟體 | |||||
| Microsoft Word Viewer (3178693) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 不適用 | MS16-120中的3118394 |
| Microsoft Word Viewer (3178653) | 不適用 | 不適用 | 關鍵 遠端程式碼執行 | 不適用 | MS16-148中的3127995 |
*更新已取代的資料行只會在任何已取代更新鏈結中顯示最新的更新。 如需已取代之更新的完整清單,請移至 Microsoft Update Catalog,搜尋更新 KB 編號,然後在 [套件詳細資料] 索引標籤上提供更新詳細資料, (更新取代的資訊) 。
Microsoft Communications Platform and Software
| 作業系統 | GDI+ 資訊洩漏弱點 - CVE-2017-0060 | GDI+ 資訊洩漏弱點 - CVE-2017-0073 | Windows 圖形元件遠端程式碼執行弱點 - CVE-2017-0108 | 已取代更新* |
|---|---|---|---|---|
| 商務用 Skype 2016 | ||||
| 商務用 Skype 2016 (32 位版本) (3178656) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | MS16-120中的3118327 |
| 商務用 Skype Basic 2016 (32 位版本) (3178656) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | MS16-120中的3118327 |
| 商務用 Skype 2016 (64 位版本) (3178656) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | MS16-120中的3118327 |
| 商務用 Skype Basic 2016 (64 位版本) (3178656) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | MS16-120中的3118327 |
| Microsoft Lync 2013 | ||||
| Microsoft Lync 2013 Service Pack 1 (32 位) [1] (商務用 Skype) (3172539) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | MS16-120中的3118348 |
| Microsoft Lync Basic 2013 Service Pack 1 (32 位) [1] (商務用 Skype Basic) (3172539) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | MS16-120中的3118348 |
| Microsoft Lync 2013 Service Pack 1 (64 位) [1] (商務用 Skype) (3172539) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | MS16-120中的3118348 |
| Microsoft Lync Basic 2013 Service Pack 1 (64 位) [1] (商務用 Skype Basic) (3172539) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | MS16-120中的3118348 |
| Microsoft Lync 2010 | ||||
| Microsoft Lync 2010 (32 位) (4010299) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | MS16-120中的3188397 |
| Microsoft Lync 2010 (64 位) (4010299) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | MS16-120中的3188397 |
| Microsoft Lync 2010 Attendee[2] (使用者層級安裝) (4010300) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | MS16-120中的3188399 |
| Microsoft Lync 2010 Attendee (系統管理員層級安裝) (4010301) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | MS16-120中的 3188400 |
| Microsoft Live Meeting 2007 主控台 | ||||
| Microsoft Live Meeting 2007 Console[3] (4010303) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | MS16-120中的3189647 |
| Microsoft Live Meeting 2007 增益集[3] (4010304) | 重要 資訊洩漏 | 重要 資訊洩漏 | 關鍵 遠端程式碼執行 | 無 |
[1]安裝此更新之前,您必須安裝更新2965218和安全性更新3039779。 如需詳細資訊,請參閱 更新常見問題 。
[2]此更新可從 Microsoft 下載中心取得。
[3]Microsoft Office Outlook 會議增益集的更新也可供使用。 如需詳細資訊和下載連結,請參閱 下載 Microsoft Office Outlook 的會議載入宏。
*更新取代的資料行只會顯示已取代更新鏈結中的最新更新。 如需已取代之更新的完整清單,請移至 Microsoft Update Catalog,搜尋更新 KB 編號,然後檢視更新取代資訊 (更新詳細資料位於 [ 套件詳細 資料] 索引標籤上) 。
Microsoft Developer Tools and Software
| 軟體 | Windows 圖形元件遠端程式碼執行弱點 - CVE-2017-0108 | *已取代更新 ** |
|---|---|---|
| 在所有支援的 Microsoft Windows 用戶端版本上安裝Microsoft Silverlight 5\ (4013867) | Critical\ Remote Code Execution | MS16-120中的3193713 |
| 在所有支援的 Microsoft Windows 用戶端版本上安裝Microsoft Silverlight 5 Developer Runtime\ (4013867) | Critical\ Remote Code Execution | MS16-120中的3193713 |
| 在所有支援的 Microsoft Windows Server 版本上安裝Microsoft Silverlight 5\ (4013867) | Critical\ Remote Code Execution | MS16-120中的3193713 |
| 在所有支援的 Microsoft Windows Server 版本上安裝Microsoft Silverlight 5 Developer Runtime\ (4013867) | Critical\ Remote Code Execution | MS16-120中的3193713 |
*更新取代的資料行只會顯示已取代更新鏈結中的最新更新。 如需已取代之更新的完整清單,請移至 Microsoft Update Catalog,搜尋更新 KB 編號,然後檢視更新取代資訊 (更新詳細資料位於 [ 套件詳細 資料] 索引標籤上) 。
更新常見問題
為什麼此公告中的安全性更新4012583也以 MS17-011 表示?
為什麼此公告中的安全性更新4012497也以 MS17-018 表示?
安全性更新4012583也以 MS17-011表示,而4012497也會在 MS17-018 中表示 Windows Vista 和 Windows Server 2008 的支援版本,因為修正影響特定產品的弱點的方式已合併。 由於佈告欄會因所解決的弱點而細分,而不是由發行的更新套件所細分,因此可以個別佈告欄、每個佈告欄處理不同的弱點,以列出與提供其個別修正程式之車輛相同的更新套件。 這通常是 Internet Explorer 或 Silverlight 等產品累積更新的情況,其中單一安全性更新可在個別公告中解決不同的安全性弱點。
注意 使用者不需要安裝與多個佈告欄一次隨附的相同安全性更新。
某些受影響的軟體有多個可用的更新套件。 我需要安裝軟體受影響軟體資料表中列出的所有更新嗎?
是。 客戶應該套用為其系統上所安裝軟體所提供的所有更新。 如果套用多個更新,則可以依任何順序安裝這些更新。
我需要以特定順序安裝這些安全性更新嗎?
不會。 指定系統的多個更新可依任何順序套用。
我執行的是 Office 2010,其列為受影響的軟體。 為什麼我未提供更新?
更新 KB3127958 (Ogl.dll) 不適用於 Windows Vista 和更新版本的 Windows 上的 Office 2010,因為易受攻擊的程式碼不存在。
我正針對未特別指出在受影響的軟體和弱點嚴重性評等資料表中受影響的軟體提供此更新。 為什麼我提供此更新?
當更新解決存在於多個 Microsoft Office 產品之間共用的元件中,或在相同 Microsoft Office 產品的多個版本之間共用的易受攻擊程式碼時,更新會被視為適用于所有支援的產品和包含易受攻擊元件的版本。
例如,當更新適用于 Microsoft Office 2007 產品時,只有 Microsoft Office 2007 可能會特別列在受影響的軟體資料表中。 不過,更新可以套用至 Microsoft Word 2007、Microsoft Excel 2007、Microsoft Visio 2007、Microsoft Compatibility Pack、Microsoft Excel Viewer 或任何其他未特別列在 [受影響的軟體] 資料表中的 Microsoft Office 2007 產品。 此外,當更新適用于 Microsoft Office 2010 產品時,只有 Microsoft Office 2010 可能會特別列在受影響的軟體資料表中。 不過,更新可以套用至Microsoft Word 2010、Microsoft Excel 2010、Microsoft Visio 2010、Microsoft Visio 檢視器或任何其他未特別列在 [受影響的軟體] 資料表中的 Microsoft Office 2010 產品。
如需此行為和建議動作的詳細資訊,請參閱 Microsoft 知識庫文章830335。 如需可套用更新的 Microsoft Office 產品清單,請參閱與特定更新相關聯的 Microsoft 知識庫文章。
此佈告欄針對受影響版本的 Microsoft Lync 2013 (商務用 Skype) 提供的任何更新是否有任何必要條件?
是。 執行受影響 Microsoft Lync 2013 (商務用 Skype) 的客戶必須先安裝 2015 年 4 月發行的 Office 2013 2965218更新,然後在 2015 年 5 月發行3039779安全性更新。 如需這兩個必要條件更新的詳細資訊,請參閱:
為什麼 Lync 2010 出席者 (使用者層級安裝) 更新只能從 Microsoft 下載中心取得?
Microsoft 僅發行 Lync 2010 出席者 (使用者層級安裝) 更新至 Microsoft 下載中心 。 因為 Lync 2010 出席者的使用者層級安裝是透過 Lync 會話處理,所以自動更新之類的散發方法不適用於這種類型的安裝案例。
此版本是否包含功能的任何其他安全性相關變更?
是。 除了解決此佈告欄中所述弱點的安全性更新之外,Microsoft 還會發行更新,以取代Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016及所有版本Windows 10所使用的特定協力廠商程式庫。 此更新以更安全且可靠的方式提供相同的功能。
弱點資訊
多個 Windows GDI 權限提高弱點
提高許可權弱點的方式是 Windows 圖形裝置介面 (GDI) 處理記憶體中的物件。 成功利用這些弱點的攻擊者可以在核心模式中執行任意程式碼。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。
若要利用這些弱點,攻擊者必須先登入系統。 攻擊者接著可以執行特別製作的應用程式,利用這些弱點並控制受影響的系統。
更新會修正 GDI 如何處理記憶體中的物件,以及防止非預期使用者模式許可權提升的實例,來解決這些弱點。
下表包含常見弱點和暴露清單中弱點的標準專案連結:
| 弱點標題 | CVE 編號 | 公開公開 | 利用 |
|---|---|---|---|
| Windows GDI 權限提高弱點 | CVE-2017-0001 | No | No |
| Windows GDI 權限提高弱點 | CVE-2017-0005 | No | Yes |
| Windows GDI 權限提高弱點 | CVE-2017-0025 | No | No |
| Windows GDI 權限提高弱點 | CVE-2017-0047 | No | No |
緩和因素
Microsoft 尚未識別出這些弱點的任何 緩和因素 。
因應措施
Microsoft 尚未識別這些弱點的任何 因 應措施。
Windows 圖形元件資訊洩漏弱點 - CVE-2017-0038
當 Windows GDI 元件不正確地揭露其記憶體的內容時,就會存在資訊洩漏弱點。 成功利用弱點的攻擊者可能會取得資訊,以進一步入侵使用者的系統。
攻擊者有多種方式可能會利用弱點,例如,藉由強制使用者開啟特別製作的檔,或藉由強制使用者流覽不受信任的網頁。
更新會修正 Windows GDI 元件如何處理記憶體中的物件,以解決弱點。
下表包含常見弱點和暴露清單中弱點的標準專案連結:
| 弱點標題 | CVE 編號 | 公開公開 | 利用 |
|---|---|---|---|
| Windows 圖形元件資訊洩漏弱點 | CVE-2017-0038 | No | No |
緩和因素
Microsoft 尚未識別此弱點的任何 緩和因素 。
因應措施
Microsoft 尚未識別此弱點的任何 因 應措施。
多個 GDI+ 資訊洩漏弱點
Windows 圖形裝置介面 (GDI) 處理記憶體中的物件的方式存在多個資訊洩漏弱點,可讓攻擊者從目標系統擷取資訊。 資訊洩漏本身不允許任意程式碼執行;不過,如果攻擊者將其與另一個弱點搭配使用,可能會允許執行任意程式碼。
若要利用這些弱點,攻擊者必須登入受影響的系統,並執行特別製作的應用程式。
安全性更新藉由更正 GDI 處理記憶體位址的方式來解決弱點。
下表包含常見弱點和暴露清單中弱點的標準專案連結:
| 弱點標題 | CVE 編號 | 公開公開 | 利用 |
|---|---|---|---|
| GDI+ 資訊洩漏弱點 | CVE-2017-0060 | No | No |
| GDI+ 資訊洩漏弱點 | CVE-2017-0062 | No | No |
| GDI+ 資訊洩漏弱點 | CVE-2017-0073 | No | No |
緩和因素
Microsoft 尚未識別出這些弱點的任何 緩和因素 。
因應措施
Microsoft 尚未識別這些弱點的任何 因 應措施。
多個 Microsoft 色彩管理資訊洩漏弱點
色彩管理模組 (ICM32.dll) 處理記憶體中的物件的方式存在多個資訊洩漏弱點。 這些弱點可讓攻擊者擷取資訊,以略過目標系統上的使用者模式 ASLR (位址空間配置隨機化) 。 資訊洩漏本身不允許任意程式碼執行;不過,如果攻擊者將任意程式碼與另一個弱點搭配使用,他們可能會允許執行任意程式碼。
在 Web 型攻擊案例中,攻擊者可以裝載特別製作的網站,其設計目的是惡意探索弱點,然後讓使用者檢視網站。 攻擊者無法強制使用者檢視攻擊者控制的內容。 相反地,攻擊者必須確信使用者採取動作,通常是藉由讓他們按一下電子郵件或 Instant Messenger 訊息中的連結,以將使用者帶往攻擊者的網站,或開啟透過電子郵件傳送的附件。
安全性更新藉由更正色彩管理模組如何處理記憶體中的物件來解決弱點。
下表包含常見弱點和暴露清單中弱點的標準專案連結:
| 弱點標題 | CVE 編號 | 公開公開 | 利用 |
|---|---|---|---|
| Microsoft 色彩管理資訊洩漏弱點 | CVE-2017-0061 | No | No |
| Microsoft 色彩管理資訊洩漏弱點 | CVE-2017-0063 | No | No |
緩和因素
Microsoft 尚未識別出這些弱點的任何 緩和因素 。
因應措施
Microsoft 尚未識別這些弱點的任何 因 應措施。
多個圖形元件遠端程式碼執行弱點
由於 Windows 圖形元件處理記憶體中的物件的方式,因此存在遠端程式碼執行弱點。 成功利用這些弱點的攻擊者可以控制受影響的系統。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。 帳戶設定為具有較少使用者權限的使用者,與使用系統管理使用者權限的使用者相比,所受的影響可能較小。
攻擊者有多種方式可以利用這些弱點。
- 在 Web 型攻擊案例中,攻擊者可以裝載特製的網站,其設計目的是利用此弱點,然後確信使用者檢視網站。 攻擊者無法強制使用者檢視攻擊者控制的內容。 相反地,攻擊者必須確信使用者採取動作,通常是藉由讓他們按一下電子郵件訊息中的連結,或在將使用者帶往攻擊者網站的 Instant Messenger 訊息中按一下連結,或開啟透過電子郵件傳送的附件。
- 在檔案共用攻擊案例中,攻擊者可以提供專為惡意探索這些弱點而設計的特製檔檔案,然後確信使用者開啟檔檔案。
請注意,對於受影響的 Microsoft Office 產品,預覽窗格是攻擊媒介。
安全性更新會修正 Windows 圖形元件如何處理記憶體中的物件,以解決弱點。
下表包含常見弱點和暴露清單中弱點的標準專案連結:
| 弱點標題 | CVE 編號 | 公開公開 | 利用 |
|---|---|---|---|
| 圖形元件遠端程式碼執行弱點 | CVE-2017-0108 | No | No |
| 圖形元件遠端程式碼執行弱點 | CVE-2017-0014 | 是 | No |
緩和因素
Microsoft 尚未識別出這些弱點的任何 緩和因素 。
因應措施
Microsoft 尚未識別這些弱點的任何 因 應措施。
安全性更新部署
如需安全性更新部署資訊,請參閱執行摘要中所參考的 Microsoft 知識庫文章。
通知
Microsoft 會辨識安全性社群中協助我們透過協調弱點洩漏來保護客戶的工作。 如需詳細資訊 ,請參閱通知 。
免責聲明
Microsoft 知識庫中提供的資訊是以「原樣」提供,不含任何種類的保固。 Microsoft 會明確或隱含地拒絕所有擔保,包括適適性與適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都對任何損害負責,包括直接、間接、間接、衍生性、業務收益損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲得這類損害的可能性。 某些狀態不允許排除或限制衍生性或附帶損害的責任,因此可能不適用上述限制。
修訂記錄
V1.0 (2017 年 3 月 14 日) :佈告欄發佈。
V1.1 (2017 年 3 月 14 日) :已變更套件上的取代3178688影響 Microsoft Office 2010 Service Pack 2 (32 和 64 位版本) ,從 MS16-097 中的 3115131 變更為 MS16-148 中的2889841。
V2.0 (2017 年 4 月 11 日) :佈告欄已修訂,以宣佈發行適用于 Windows Vista 和 Windows Server 2008 的更新4017018。 更新只會取代 CVE-2017-0038 的更新4012583,以全面解決弱點。 Microsoft 建議執行受影響的軟體的客戶安裝安全性更新,以完全保護此佈告欄中所述的弱點。 如需詳細資訊,請參閱 Microsoft 知識庫文章4017018。
V3.0 (2017 年 5 月 9 日) :Microsoft 已針對受影響的 Windows Server 2008 版本重新發行安全性更新4017018。 重新發行已重新分類為安全性更新。 Microsoft 建議客戶安裝更新4017018,以完全保護 CVE-2017-0038。 已安裝更新的客戶不需要採取任何進一步的動作。
此外,這項安全性更新修正也適用于 Windows Server 2008 for Itanium 型系統。
頁面產生的 2017-05-09 09:49-07:00。