Бюллетень по безопасности Майкрософт MS16-097 — критически важный

Обновление системы безопасности для компонента графики Майкрософт (3177393)

Опубликовано: 9 августа 2016 г.

Версия: 1.0

Краткий обзор

Это обновление безопасности устраняет уязвимости в Microsoft Windows, Microsoft Office, Skype для бизнеса и Microsoft Lync. Уязвимости могут разрешить удаленное выполнение кода, если пользователь либо посещает специально созданный веб-сайт, либо открывает специально созданный документ. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.

Это обновление системы безопасности имеет критически важное значение для:

• Все поддерживаемые выпуски Microsoft Windows
• Затронутые выпуски Microsoft Office 2007 и Microsoft Office 2010
• Затронутые выпуски Skype для бизнеса 2016, Microsoft Lync 2013 и Microsoft Lync 2010

Обновление безопасности устраняет уязвимости, исправляя способ обработки внедренных шрифтов библиотеки шрифтов Windows. Дополнительные сведения об уязвимостях см. в разделе "Сведения об уязвимостях".

Дополнительные сведения см. в разделе "Оценки серьезности уязвимостей" в программном обеспечении и уязвимостях.

Дополнительные сведения об уязвимостях см. в разделе "Сведения об уязвимостях".

Дополнительные сведения об этом обновлении см . в статье базы знаний Майкрософт 3177393.

Оценки серьезности уязвимостей и программного обеспечения

Затронуты следующие версии программного обеспечения или выпуски. Версии или выпуски, не перечисленные в списке, были в прошлом жизненном цикле поддержки или не затронуты. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.

Оценки серьезности, указанные для каждого затронутого программного обеспечения, предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке по индексу эксплойтации в августовом бюллетене.

Microsoft Windows

^[1]Это обновление доступно только через Обновл. Windows.

^[2]Обновления Windows 10 являются накопительными. Ежемесячный выпуск системы безопасности включает все исправления безопасности для уязвимостей, влияющих на Windows 10, помимо обновлений, не относящихся к безопасности. Обновления доступны через каталог Центра обновления Майкрософт.

Обратите внимание , что уязвимости, рассмотренные в этом бюллетене, влияют на Windows Server 2016 Technical Preview 5. Чтобы защититься от уязвимостей, корпорация Майкрософт рекомендует клиентам, работающим с этой операционной системой, применить текущее обновление, доступное из Обновл. Windows.

*Столбец Обновления "Заменено" отображает только последнее обновление в любой цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог Центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке PackageDetails предоставляются сведения об обновлениях).

Microsoft Office

*Столбец Обновления "Заменено" отображает только последнее обновление в любой цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог Центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке "Сведения о пакете" указаны обновления).

Платформы и программное обеспечение Microsoft Communications

^[1]Перед установкой этого обновления необходимо установить 2965218 3039779 обновления и обновления системы безопасности. Дополнительные сведения см. в разделе "Вопросы и ответы об обновлении".

^[2]Это обновление доступно в Центре загрузки Майкрософт.

^[3]Также доступно обновление надстройки конференц-связи для Microsoft Office Outlook. Дополнительные сведения и ссылки на скачивание см. в разделе "Скачать надстройку конференц-связи" для Microsoft Office Outlook.

*Столбец Обновления "Заменено" отображает только последнее обновление в цепочке замененных обновлений. Полный список обновлений, замененных, перейдите в каталог центра обновления Майкрософт, найдите номер обновления КБ, а затем просмотрите сведения об обновлении (на вкладке "Сведения о пакете" заменены обновлениями).

Вопросы и ответы по обновлению

Существует несколько пакетов обновления, доступных для некоторых затронутых программ. Необходимо ли установить все обновления, перечисленные в таблице затронутых программ для программного обеспечения?
Да. Клиенты должны применять все обновления, предлагаемые для программного обеспечения, установленного в своих системах. При применении нескольких обновлений их можно установить в любом порядке.

Необходимо ли установить эти обновления безопасности в определенной последовательности?
№ В любой последовательности можно применить несколько обновлений для данной системы.

Я работаю под управлением Office 2010, которая указана в качестве затронутого программного обеспечения. Почему я не предлагаю обновление?
Обновление неприменимо к Office 2010 в Windows Vista и более поздних версиях Windows, так как уязвимый код отсутствует.

Я предлагаю это обновление для программного обеспечения, которое специально не указано как затронутые в таблице "Затронутые программное обеспечение и уровень серьезности уязвимостей". Почему я предлагаю это обновление?
Если обновления обращаются к уязвимому коду, который существует в компоненте, который совместно используется между несколькими продуктами Microsoft Office или общим доступом между несколькими версиями одного и того же продукта Microsoft Office, обновление считается применимым ко всем поддерживаемым продуктам и версиям, содержащим уязвимый компонент.

Например, если обновление применяется к продуктам Microsoft Office 2007, в таблице "Затронутое программное обеспечение" может быть указано только Microsoft Office 2007. Однако обновление может применяться к Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, пакету совместимости Майкрософт, Средству просмотра Microsoft Excel или любому другому продукту Microsoft Office 2007, который не указан в конкретной таблице программного обеспечения. Кроме того, если обновление применяется к продуктам Microsoft Office 2010, в таблице "Затронутое программное обеспечение" может быть указано только Microsoft Office 2010. Однако обновление может применяться к Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer или любому другому продукту Microsoft Office 2010, который не указан в таблице затронутых программ.

Дополнительные сведения об этом поведении и рекомендуемых действиях см. в статье базы знаний Майкрософт 830335. Список продуктов Microsoft Office, к которым может применяться обновление, см. в статье базы знаний Майкрософт, связанной с конкретным обновлением.

Существуют ли необходимые условия для любых обновлений, предлагаемых в этом бюллетене для затронутых выпусков Microsoft Lync 2013 (Skype для бизнеса)?  Да. Клиенты, работающие с затронутыми выпусками Microsoft Lync 2013 (Skype для бизнеса), сначала должны установить обновление 2965218 для Office 2013, выпущенное в апреле 2015 г., а затем 3039779 обновление системы безопасности, выпущенное в мае 2015 г. Дополнительные сведения об этих двух необходимых обновлениях см. в следующих статье:

• https:
• Статья базы знаний 3039779

Существуют ли связанные обновления, не связанные с безопасностью, которые клиенты должны устанавливать вместе с обновлением безопасности консоли собраний Microsoft Live?
Да, помимо выпуска обновления безопасности для консоли собраний Microsoft Live, корпорация Майкрософт выпустила следующие обновления, не относящиеся к безопасности, для надстройки конференц-связи OCS для Outlook. Если применимо, корпорация Майкрософт рекомендует клиентам устанавливать эти обновления для поддержания актуальности систем:

• Надстройка конференц-связи OCS для Outlook (32-разрядная версия) (3115870)
• Надстройка конференц-связи OCS для Outlook (64-разрядная версия) (3115870)

Дополнительные сведения см . в статье базы знаний Майкрософт 3115870 .

Почему обновление Участника Lync 2010 (установка уровня пользователя) доступно только в Центре загрузки Майкрософт?
Корпорация Майкрософт выпускает обновление только для участников Lync 2010 (установка уровня пользователя) только в Центре загрузки Майкрософт. Так как установка на уровне пользователя Lync 2010 Attendee обрабатывается через сеанс Lync, методы распространения, такие как автоматическое обновление, не подходят для этого типа установки.

Сведения об уязвимостях

Несколько уязвимостей RCE компонента графики Windows

Существует несколько уязвимостей удаленного выполнения кода, когда библиотека шрифтов Windows неправильно обрабатывает специально созданные внедренные шрифты. Злоумышленник, который успешно воспользовался уязвимостями, может контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.

Злоумышленник может использовать уязвимости несколькими способами:

• В сценарии атаки на веб-основе злоумышленник может разместить специально созданный веб-сайт, предназначенный для использования уязвимостей, а затем убедить пользователей просматривать веб-сайт. Злоумышленнику не удастся заставить пользователей просматривать управляемое злоумышленником содержимое. Вместо этого злоумышленнику придется убедить пользователей принять меры, как правило, щелкнув ссылку в сообщении электронной почты или мгновенных сообщений Messenger, которые отправляют пользователей на веб-сайт злоумышленника или открыв вложение, отправленное по электронной почте.
• В сценарии атаки общего доступа к файлам злоумышленник может предоставить специально созданный файл документа, предназначенный для использования уязвимостей, а затем убедить пользователей открыть файл документа. Обновление безопасности устраняет уязвимости, исправляя способ обработки внедренных шрифтов библиотеки шрифтов Windows.

В таблице "Оценки серьезности серьезности уязвимостей и программного обеспечения" для Microsoft Office область предварительной версии — это вектор атак CVE-2016-3301, CVE-2016-3303 и CVE-2016-3304. Обновление безопасности устраняет уязвимости, исправляя способ обработки внедренных шрифтов библиотеки шрифтов Windows.

В следующей таблице содержатся ссылки на стандартную запись для каждой уязвимости в списке распространенных уязвимостей и уязвимостей:

Смягчающие факторы

Корпорация Майкрософт не определила какие-либо факторы устранения этих уязвимостей.

Методы обхода проблемы

Корпорация Майкрософт не определила обходные пути для этой уязвимости .

Развертывание обновлений безопасности

Сведения о развертывании обновлений безопасности см. в статье базы знаний Майкрософт, на которую ссылается сводка по исполнительному руководству.

Благодарности

Корпорация Майкрософт признает усилия тех, кто в сообществе безопасности помогает нам защитить клиентов с помощью скоординированного раскрытия уязвимостей. Дополнительные сведения см . в подтверждениях .

Заявление об отказе

Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Редакции

• Версия 1.0 (9 августа 2016 г.): Бюллетень опубликован.

Страница создана 2016-08-09 09:18-07:00. </https:>