Microsoft 資訊安全公告 MS17-022 - 重要

  • 發行項

Microsoft XML Core Services 的安全性更新 (4010321)

發行日期:2017 年 3 月 14 日

版本: 1.0

提要

此安全性更新可解決 Microsoft Windows 中的弱點。如果使用者造訪蓄意製作的網站,此弱點可能會允許資訊洩漏。但是,無論如何,攻擊者無法強迫使用者按一下蓄意製作的連結。攻擊者必須引誘使用者按一下連結,一般是藉助電子郵件的附件或 Instant Messenger 訊息。

對於所有受支援 Microsoft Windows 版本上的 Microsoft XML Core Services 3.0,此安全性更新等級為「重要」。如需詳細資訊,請參閱<受影響的軟體>一節。

此更新會變更 MSXML 處理記憶體中物件的方式,藉此解決弱點。如需有關弱點的詳細資訊,請參閱<弱點資訊>一節。

如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章 4010321

受影響的軟體和弱點嚴重性等級

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要了解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站

針對每個受影響的軟體所指出的嚴重性等級假設弱點可能產生最大影響。在本資訊安全公告發行的 30 天內,如需弱點之易遭利用性與嚴重性等級和資訊安全影響之間對應關係的資訊,請參閱 3 月份公告摘要中的<弱點入侵指數>。

注意 請參閱安全性更新導覽,了解取用安全性更新資訊的新方法。您可以自訂您的檢視並建立受影響軟體清單,以及透過符合 REST 限制的 API 下載資料。如需詳細資訊,請參閱安全性更新導覽常見問題集。提醒您,「安全性更新導覽」將會取代資訊安全公告。請參閱我們的部落格文章將我們的承諾延續至安全性更新 (英文),取得詳細資訊。

 

**作業系統** **元件** [**Microsoft XML Core Services 資訊洩漏弱點 - CVE-2017-0022**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-0022) **取代的更新**\*
**Windows Vista**
Windows Vista Service Pack 2 [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3216916) (3216916) **重要** 資訊洩漏 [MS16-040](https://go.microsoft.com/fwlink/?linkid=746897) 中的 3146963
Windows Vista x64 Edition Service Pack 2 [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3216916) (3216916) **重要** 資訊洩漏 [MS16-040](https://go.microsoft.com/fwlink/?linkid=746897) 中的 3146963
**Windows Server 2008**
32 位元系統的 Windows Server 2008 Service Pack 2 [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3216916) (3216916) **重要** 資訊洩漏 [MS16-040](https://go.microsoft.com/fwlink/?linkid=746897) 中的 3146963
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3216916) (3216916) **重要** 資訊洩漏 [MS16-040](https://go.microsoft.com/fwlink/?linkid=746897) 中的 3146963
適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2 [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3216916) (3216916) **重要** 資訊洩漏 [MS16-040](https://go.microsoft.com/fwlink/?linkid=746897) 中的 3146963
**Windows 7**
適用於 32 位元系統的 Windows 7 Service Pack 1 僅限安全性[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012212) (4012212) **重要** 資訊洩漏
適用於 32 位元系統的 Windows 7 Service Pack 1 每月彙總套件[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012215) (4012215) **重要** 資訊洩漏 [3212646](https://support.microsoft.com/zh-tw/kb/3212646)
適用於 x64 型系統的 Windows 7 Service Pack 1 僅限安全性[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012212) (4012212) **重要** 資訊洩漏
適用於 x64 型系統的 Windows 7 Service Pack 1 每月彙總套件[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012215) (4012215) **重要** 資訊洩漏 [3212646](https://support.microsoft.com/zh-tw/kb/3212646)
**Windows Server 2008 R2**
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 僅限安全性[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012212) (4012212) **重要** 資訊洩漏
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 每月彙總套件[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012215) (4012215) **重要** 資訊洩漏 [3212646](https://support.microsoft.com/zh-tw/kb/3212646)
適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1 僅限安全性[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012212) (4012212) **重要** 資訊洩漏
適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1 每月彙總套件[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012215) (4012215) **重要** 資訊洩漏 [3212646](https://support.microsoft.com/zh-tw/kb/3212646)
**Windows 8.1**
適用於 32 位元系統的 Windows 8.1 僅限安全性[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012213) (4012213) **重要** 資訊洩漏
適用於 32 位元系統的 Windows 8.1 每月彙總套件[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012216) (4012216) **重要** 資訊洩漏 [3205401](https://support.microsoft.com/zh-tw/kb/3205401)
適用於 x64 型系統的 Windows 8.1 僅限安全性[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012213) (4012213) **重要** 資訊洩漏
適用於 x64 型系統的 Windows 8.1 每月彙總套件[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012216) (4012216) **重要** 資訊洩漏 [3205401](https://support.microsoft.com/zh-tw/kb/3205401)
**Windows Server 2012 和 Windows Server 2012 R2**
Windows Server 2012 僅限安全性[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012214) (4012214) **重要** 資訊洩漏
Windows Server 2012 每月彙總套件[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012217) (4012217) **重要** 資訊洩漏 [3205409](https://support.microsoft.com/zh-tw/kb/3205409)
Windows Server 2012 R2 僅限安全性[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012213) (4012213) **重要** 資訊洩漏
Windows Server 2012 R2 每月彙總套件[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012216) (4012216) **重要** 資訊洩漏 [3205401](https://support.microsoft.com/zh-tw/kb/3205401)
**Windows RT 8.1**
Windows RT 8.1[2] 每月彙總套件 Microsoft XML Core Services 3.0 (4012216) **重要** 資訊洩漏 [3205401](https://support.microsoft.com/zh-tw/kb/3205401)
**Windows 10**
[適用於 32 位元系統的 Windows 10](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012606)[3] (4012606) Microsoft XML Core Services 3.0 **重要** 資訊洩漏 [3210720](https://support.microsoft.com/zh-tw/kb/3210720)
[適用於 x64 型系統的 Windows 10](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012606)[3] (4012606) Microsoft XML Core Services 3.0 **重要** 資訊洩漏 [3210720](https://support.microsoft.com/zh-tw/kb/3210720)
[適用於 32 位元系統的 Windows 10 1511 版](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013198)[3] (4013198) Microsoft XML Core Services 3.0 **重要** 資訊洩漏 [3210721](https://support.microsoft.com/zh-tw/kb/3210721)
[適用於 x64 型系統的 Windows 10 1511 版](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013198)[3] (4013198) Microsoft XML Core Services 3.0 **重要** 資訊洩漏 [3210721](https://support.microsoft.com/zh-tw/kb/3210721)
[適用於 32 位元系統的 Windows 10 1607 版](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3216916)[3] (3216916) Microsoft XML Core Services 3.0 **重要** 資訊洩漏 [3213986](https://support.microsoft.com/zh-tw/kb/3213986)
[適用於 x64 型系統的 Windows 10 1607 版](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3216916)[3] (3216916) Microsoft XML Core Services 3.0 **重要** 資訊洩漏 [3213986](https://support.microsoft.com/zh-tw/kb/3213986)
**Windows Server 2016**
[適用於 x64 型系統的 Windows Server 2016](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3216916)[3] (3216916) Microsoft XML Core Services 3.0 **重要** 資訊洩漏 [3213986](https://support.microsoft.com/zh-tw/kb/3213986)
**Server Core 安裝選項**
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3216916) (3216916) **重要** 資訊洩漏 [MS16-040](https://go.microsoft.com/fwlink/?linkid=746897) 中的 3146963
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3216916) (3216916) **重要** 資訊洩漏 [MS16-040](https://go.microsoft.com/fwlink/?linkid=746897) 中的 3146963
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1(Server Core 安裝) 僅限安全性[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012212) (4012212) **重要** 資訊洩漏
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) 每月彙總套件[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012215) (4012215) **重要** 資訊洩漏 [3212646](https://support.microsoft.com/zh-tw/kb/3212646)
Windows Server 2012  (Server Core 安裝) 僅限安全性[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012214) (4012214) **重要** 資訊洩漏
Windows Server 2012 (Server Core 安裝) 每月彙總套件[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012217) (4012217) **重要** 資訊洩漏 [3205409](https://support.microsoft.com/zh-tw/kb/3205409)
Windows Server 2012 R2  (Server Core 安裝) 僅限安全性[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012213) (4012213) **重要** 資訊洩漏
Windows Server 2012 R2 (Server Core 安裝) 每月彙總套件[1] [Microsoft XML Core Services 3.0](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012216) (4012216) **重要** 資訊洩漏 [3205401](https://support.microsoft.com/zh-tw/kb/3205401)
[適用於 x64 型系統的 Windows Server 2016](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3216916)[3](Server Core 安裝) (3216916) Microsoft XML Core Services 3.0 **重要** 資訊洩漏 [3213986](https://support.microsoft.com/zh-tw/kb/3213986)
[1]自 2016 年 10 月版起,Microsoft 已變更 Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012 和 Windows Server 2012 R2 的更新服務模式。如需詳細資訊,請參閱此 [Microsoft TechNet 文章](https://blogs.technet.microsoft.com/windowsitpro/2016/08/15/further-simplifying-servicing-model-for-windows-7-and-windows-8-1/)。

[2] 此更新僅透過 Windows Update 提供。

[3] Windows 10 和 Windows Server 2016 更新是累積性的。每月安全性發行包含所有影響 Windows 10 的弱點安全性修正程式,以及非安全性更新。更新透過 Microsoft Update Catalog 提供。請注意,自 2016 年 12 月 13 日起,Windows 10 和 Windows Server 2016 的累積更新詳細資料將記錄在版本資訊中。請參閱版本資訊,了解 OS 組建編號、已知問題和受影響的檔案清單資訊。

*[取代的更新] 欄位僅顯示所有已取代更新鏈結中的最新更新。如需完整的已取代更新清單,請前往 Microsoft Update Catalog,搜尋更新知識庫文章編號,然後檢視更新詳細資料 (取代的更新資訊位於 [Package Details] 索引標籤)。

更新常見問題集

我的系統上安裝的 Microsoft XML Core Services 是什麼版本?

某些版本的 Microsoft XML Core Services 隨附於 Microsoft Windows 中;其他則是與 Microsoft 或協力廠商供應商的非作業系統軟體一起安裝。某些版本有提供獨立下載。下表顯示哪些 Microsoft XML Core Services 版本隨附於 Microsoft Windows 中,哪些則是與其他 Microsoft 或協力廠商的軟體一起安裝。

作業系統 MSXML 3.0
Windows Vista 隨附於作業系統
Windows Server 2008 隨附於作業系統
Windows 7 隨附於作業系統
Windows Server 2008 R2 隨附於作業系統
Windows 8.1 隨附於作業系統
Windows Server 2012 和 Windows Server 2012 R2 隨附於作業系統
Windows 10 (所有版本) 隨附於作業系統
Windows Server 2016 隨附於作業系統
弱點資訊 -------- Microsoft XML Core Services 資訊洩漏弱點 - CVE-2017-0022 -------------------------------------------------------- 當 [Microsoft XML Core Services (MSXML)](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx) 不當處理記憶體中的物件時,表示存在資訊弱點。成功利用弱點可能會讓攻擊者可以測試檔案是否存在磁碟上。 為了利用此弱點,攻擊者可能會架設蓄意製作的網站,以透過 Internet Explorer 叫用 MSXML。然而,攻擊者並無法強迫使用者造訪這類網站,而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件訊息或 Instant Messenger 要求中通往攻擊者網站的連結。 此更新會變更 MSXML 處理記憶體中物件的方式,藉此解決弱點。 下表包含一般弱點及安全風險清單中,各個弱點的標準項目連結:

弱點標題 CVE 編號 已公開揭露 是否遭到利用
Microsoft XML Core Services 資訊洩漏弱點 CVE-2017-0022
### 緩和因素 Microsoft 尚未找到此項弱點的任何[緩和因素](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 ### 因應措施 Microsoft 尚未找到此項弱點的任何[因應措施](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 安全性更新部署 -------------- 如需安全性更新部署資訊,請在[這裡](#kbarticle)參閱<提要>中的 Microsoft 知識庫文章。 致謝 ---- Microsoft 了解資訊安全業界所做的努力,其盡責地揭露弱點來協助我們保護客戶。請參閱[致謝](https://technet.microsoft.com/zh-tw/library/security/mt745121.aspx)以取得詳細資訊。 免責聲明 -------- Microsoft 知識庫中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。 修訂 ---- - V1.0 (2017 年 3 月 14 日):公告發行。 *頁面產生時間:2017-03-08 12:49-08:00。*