Microsoft 安全性佈告欄 MS17-021 - 重要

Windows DirectShow (4010318) 的安全性更新

發行日期:2017 年 3 月 14 日 |更新日期:2017 年 4 月 11 日

版本: 2.0

執行摘要

此安全性更新可解決 Microsoft Windows 中的弱點。 如果 Windows DirectShow 開啟裝載于惡意網站上的特製媒體內容,此弱點可能會允許資訊洩漏。 成功利用弱點的攻擊者可能會取得資訊,以進一步入侵目標系統。

此安全性更新會針對所有受影響的 Windows 版本進行評等。 如需詳細資訊,請參閱 受影響的軟體和 弱點嚴重性評等一節。

安全性更新會修正 Windows DirectShow 如何處理記憶體中的物件,以解決弱點。 如需弱點的詳細資訊,請參閱 弱點資訊 一節。

如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章 4010318

受影響的軟體

下列軟體版本或版本會受到影響。 未列出的版本或版本會超過其支援生命週期,或不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱Microsoft 支援服務生命週期

針對每個受影響的軟體所指出的嚴重性分級會假設弱點的潛在最大影響。 如需有關此安全性佈告欄發行 30 天內有關弱點惡意探索能力的相關資訊,以及其嚴重性評等和安全性影響,請參閱 3 月公告摘要中的惡意探索索引。

注意 如需使用安全性更新資訊的新方法,請參閱 安全性更新指南 。 您可以自訂檢視,並建立受影響的軟體試算表,以及透過待用 API 下載資料。 如需詳細資訊,請參閱安全性更新指南常見問題。 提醒您,安全性更新指南將會取代安全性佈告欄。 如需詳細資訊,請參閱我們的部落格文章, 進一步瞭解安全性更新的承諾

作業系統 Windows DirectShow 資訊洩漏弱點 - CVE-2017-0042 已取代更新
Windows Vista
Windows Vista Service Pack 2 (3214051) 重要 資訊洩漏
Windows Vista x64 Edition Service Pack 2 (3214051) 重要 資訊洩漏
Windows Server 2008
Windows Server 2008 for 32 位系統 Service Pack 2 (3214051) 重要 資訊洩漏
適用于 x64 型系統的 Windows Server 2008 Service Pack 2 (3214051) 重要 資訊洩漏
Windows Server 2008 for Itanium 型系統 Service Pack 2 (3214051) 重要 資訊洩漏
Windows 7
僅限 Windows 7 for 32 位系統 Service Pack 1 (4012212) 安全性[1] 重要 資訊洩漏
Windows 7 for 32 位系統 Service Pack 1 (4012215) 每月匯總[1] 重要 資訊洩漏 3212646
Windows 7 for x64 型系統 Service Pack 1 (4012212) 僅限安全性[1] 重要 資訊洩漏
Windows 7 for x64 型系統 Service Pack 1 (4012215) 每月匯總[1] 重要 資訊洩漏 3212646
Windows Server 2008 R2
適用于 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (4012212) 僅限安全性[1] 重要 資訊洩漏
適用于 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (4012215) 每月匯總[1] 重要 資訊洩漏 3212646
僅限 Windows Server 2008 R2 for Itanium 型系統 Service Pack 1 (4012212) 安全性[1] 重要 資訊洩漏
Windows Server 2008 R2 for Itanium 型系統 Service Pack 1 (4012215) 每月匯總[1] 重要 資訊洩漏 3212646
Windows 8.1
僅限32 位系統的Windows 8.1 (4012213) 安全性[1] 重要 資訊洩漏
32 位系統的 Windows 8.1 (4012216) 每月匯總[1] 重要 資訊洩漏 3205401
Windows 8.1 x64 型系統 (4012213) 僅限安全性[1] 重要 資訊洩漏
x64 型系統的 Windows 8.1 (4012216) 每月匯總[1] 重要 資訊洩漏 3205401
Windows Server 2012 和 Windows Server 2012 R2
僅限 Windows Server 2012 (4015548) Security[1][4] 重要 資訊洩漏
Windows Server 2012 (4015551) 每月匯總[1][4] 重要 資訊洩漏 4012217
僅限 Windows Server 2012 R2 (4012213) Security[1] 重要 資訊洩漏
Windows Server 2012 R2 (4012216) 每月匯總[1] 重要 資訊洩漏 3205401
Windows RT 8.1
Windows RT 8.1[2] (4012216) 每月匯總 重要 資訊洩漏 3205401
Windows 10
Windows 10 32 位 Systems[3] (4012606) 重要 資訊洩漏 3210720
x64 型系統的Windows 10[3] (4012606) 重要 資訊洩漏 3210720
Windows 10 32 位系統的 1511 版[3] (4013198) 重要 資訊洩漏 3210721
Windows 10 x64 型系統的 1511 版[3] (4013198) 重要 資訊洩漏 3210721
Windows 10 32 位系統的 1607 版[3] (4013429) 重要 資訊洩漏 3213986
Windows 10 x64 型系統的 1607 版[3] (4013429) 重要 資訊洩漏 3213986
Windows Server 2016
Windows Server 2016 x64 型系統[3] (4013429) 重要 資訊洩漏 3213986

[1]從 2016 年 10 月版本開始,Microsoft 已變更 Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012 和 Windows Server 2012 R2 的更新服務模型。 如需詳細資訊,請參閱此 Microsoft TechNet 文章

[2]此更新僅適用于Windows Update

[3]Windows 10和Windows Server 2016更新是累計的。 每月安全性版本包含影響Windows 10之弱點的所有安全性修正程式,以及非安全性更新。 更新可透過 Microsoft Update Catalog取得。 請注意,從 2016 年 12 月 13 日開始,Windows 10和Windows Server 2016累積更新的詳細資料將會記載于版本資訊中。 請參閱 OS 組建編號、已知問題和受影響的檔案清單資訊的版本資訊。

[4]自 2017 年 4 月 11 日起,適用于 Windows Server 2012 的 CVE-2017-0042 的安全性更新現已推出。 執行 Windows Server 2012 的客戶應該安裝更新4015548 (僅限安全性) 或4015551 (每月匯總) ,以完全保護此弱點。

*更新取代的資料行只會顯示已取代更新鏈結中的最新更新。 如需已取代之更新的完整清單,請移至 Microsoft Update Catalog,搜尋更新 KB 編號,然後檢視更新詳細資料, (更新取代的資訊位於 [套件詳細資料] 索引標籤) 。

弱點資訊

Windows DirectShow 資訊洩漏弱點 - CVE-2017-0042

當 Windows DirectShow 處理記憶體中的物件時,就存在資訊洩漏弱點。 成功利用弱點的攻擊者可能會取得資訊,以進一步入侵目標系統。

在 Web 型攻擊案例中,攻擊者可能會裝載用來嘗試惡意探索弱點的網站。 此外,接受或裝載使用者提供內容的遭入侵網站和網站可能包含特別製作的內容,可用來惡意探索弱點。 不過,在所有情況下,攻擊者都無法強制使用者檢視攻擊者控制的內容。 相反地,攻擊者必須說服使用者採取動作。 例如,攻擊者可能會讓使用者按一下將他們帶至攻擊者網站的連結。

安全性更新會修正 Windows DirectShow 如何處理記憶體中的物件,以解決弱點。

下表包含 Common Vulnerabilities and Exposures 清單中每個弱點的標準專案連結:

弱點標題 CVE 編號 公開揭露 利用
Windows DirectShow 資訊洩漏弱點 CVE-2017-0042 No No

緩和因素

Microsoft 尚未識別此弱點的任何 緩和因素

因應措施

Microsoft 尚未識別此弱點的任何 因應措施

通知

Microsoft 瞭解安全性社群中協助我們透過協調弱點洩漏來保護客戶的工作。 如需詳細資訊 ,請參閱通知

免責聲明

Microsoft 知識庫中提供的資訊會「原樣」提供,而不需任何種類的擔保。 Microsoft 會拒絕所有明示或隱含擔保,包括適售性與適用特定用途的擔保。 不論任何損害,Microsoft Corporation 或其供應商都不得承擔任何損害,包括直接、間接、間接、衍生性、業務收益或特殊損害損失,即使 Microsoft Corporation 或其供應商已獲得這類損害的可能性。 某些州不允許排除或限制衍生或間接損害的責任,因此可能不適用上述限制。

修訂記錄

  • V1.0 (2017 年 3 月 14 日) :已發行佈告欄。
  • V2.0 (2017 年 4 月 11 日) :佈告欄已修訂,宣佈適用于 Windows Server 2017-0042 的 CVE-2017-0042 的安全性更新現已推出。 執行 Windows Server 2012 的客戶應該安裝更新4015548 (僅限安全性) 或4015551 (每月匯總) ,以完全保護此弱點。 執行其他 Microsoft Windows 版本的客戶不需要採取任何進一步動作。

頁面產生的 2017-04-06 12:29-07:00。