Microsoft 安全公告 MS15-075 - 重要

OLE 中的漏洞可能允许特权提升 (3072633)

发布日期:2015 年 7 月 14 日

版本: 1.0

执行摘要

此安全更新可修复 Microsoft Windows 中的漏洞。如果将这些漏洞与允许任意代码运行的其他漏洞结合利用,则可能允许特权提升。一旦利用了其他漏洞之后,攻击者随后可能利用本公告已解决的这些漏洞导致任意代码在中等完整性级别运行。

对于 Microsoft Windows 的所有受支持版本,此安全更新的等级为“重要”。有关详细信息,请参阅“受影响的软件”部分。

此安全更新通过更正验证用户输入的方式来修复漏洞。有关该漏洞的详细信息,请参阅“漏洞信息”一节。

有关此更新的详细信息,请参阅 Microsoft 知识库文章 3072633

受影响的软件

以下软件版本都受到影响。未列出的版本的支持生命周期已结束或者不受影响。要确定软件版本的技术支持生命周期,请参阅 Microsoft 技术支持生命周期

**操作系统** **最大安全影响** **综合严重等级** **替代的更新**\*
**Windows Server 2003**
[Windows Server 2003 Service Pack 2](https://www.microsoft.com/zh-cn/download/details.aspx?id=47953) (3072633) 特权提升 重要 [MS13-070](https://technet.microsoft.com/zh-cn/library/security/ms13-070) 中的 2876217
[Windows Server 2003 x64 Edition Service Pack 2](https://www.microsoft.com/zh-cn/download/details.aspx?id=47932) (3072633) 特权提升 重要 [MS13-070](https://technet.microsoft.com/zh-cn/library/security/ms13-070) 中的 2876217
[Windows Server 2003 SP2(用于基于 Itanium 的系统)](https://www.microsoft.com/download/details.aspx?familyid=ccb9dff2-60ef-4d61-a66f-4337bb9b6cd9) (3072633) 特权提升 重要 [MS13-070](https://technet.microsoft.com/zh-cn/library/security/ms13-070) 中的 2876217
**Windows Vista**
[Windows Vista Service Pack 2](https://www.microsoft.com/zh-cn/download/details.aspx?id=47965) (3072633) 特权提升 重要
[Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/zh-cn/download/details.aspx?id=47934) (3072633) 特权提升 重要
**Windows Server 2008**
[Windows Server 2008(用于 32 位系统)Service Pack 2](https://www.microsoft.com/zh-cn/download/details.aspx?id=47915) (3072633) 特权提升 重要
[Windows Server 2008(用于基于 x64 的系统)Service Pack 2](https://www.microsoft.com/zh-cn/download/details.aspx?id=47907) (3072633) 特权提升 重要
[Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=758bc378-acd3-4a99-bcfd-5791a48ab868) (3072633) 特权提升 重要
**Windows 7**
[Windows 7(用于 32 位系统)Service Pack 1](https://www.microsoft.com/zh-cn/download/details.aspx?id=47927) (3072633) 特权提升 重要
[Windows 7(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/zh-cn/download/details.aspx?id=47971) (3072633) 特权提升 重要
**Windows Server 2008 R2**
[Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/zh-cn/download/details.aspx?id=47917) (3072633) 特权提升 重要
[Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=654b899f-2629-42d4-9dfc-33973d73867d) (3072633) 特权提升 重要
**Windows 8 和 Windows 8.1**
[Windows 8(用于 32 位系统)](https://www.microsoft.com/zh-cn/download/details.aspx?id=47957) (3072633) 特权提升 重要
[Windows 8(用于基于 x64 的系统)](https://www.microsoft.com/zh-cn/download/details.aspx?id=47910) (3072633) 特权提升 重要
[Windows 8.1(用于 32 位系统)](https://www.microsoft.com/zh-cn/download/details.aspx?id=47984) (3072633) 特权提升 重要
[Windows 8.1(用于基于 x64 的系统)](https://www.microsoft.com/zh-cn/download/details.aspx?id=47948) (3072633) 特权提升 重要
**Windows Server 2012 和 Windows Server 2012 R2**
[Windows Server 2012](https://www.microsoft.com/zh-cn/download/details.aspx?id=47947) (3072633) 特权提升 重要
[Windows Server 2012 R2](https://www.microsoft.com/zh-cn/download/details.aspx?id=47902) (3072633) 特权提升 重要
**Windows RT 和 Windows RT 8.1**
Windows RT[1] (3072633) 特权提升 重要
Windows RT 8.1[1] (3072633) 特权提升 重要
**服务器核心安装选项**
[Windows Server 2008(用于 32 位系统)Service Pack 2](https://www.microsoft.com/zh-cn/download/details.aspx?id=47915)(服务器核心安装) (3072633) 特权提升 重要
[Windows Server 2008(用于基于 x64 的系统)Service Pack 2](https://www.microsoft.com/zh-cn/download/details.aspx?id=47907)(服务器核心安装) (3072633) 特权提升 重要
[Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/zh-cn/download/details.aspx?id=47917)(服务器核心安装) (3072633) 特权提升 重要
[Windows Server 2012](https://www.microsoft.com/zh-cn/download/details.aspx?id=47947)(服务器核心安装) (3072633) 特权提升 重要
[Windows Server 2012 R2](https://www.microsoft.com/zh-cn/download/details.aspx?id=47902)(服务器核心安装) (3072633) 特权提升 重要

[1]此更新仅通过 Windows 更新提供。

*在取代的更新链中,“替代的更新”列仅显示最新的更新。有关替代的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库编号,然后查看刻度更新详细信息(替代的更新信息位于“程序包详细信息”选项卡)。

严重性级别和漏洞标识符

以下严重等级假设漏洞的可能的最大影响。有关此安全公告发布 30 天内,漏洞利用的安全等级和安全影响的可能性的信息,请参阅 7 月份公告摘要中的利用指数。

**按受影响软件列出的漏洞严重性级别和最大安全影响**
**受影响的软件** [**OLE 特权提升漏洞 - CVE-2015-2416**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2416) [**OLE 特权提升漏洞 - CVE-2015-2417**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2417) **综合严重等级**
**Windows Server 2003**
Windows Server 2003 Service Pack 2 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows Server 2003 x64 Edition Service Pack 2 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows Server 2003 SP2(用于基于 Itanium 的系统) (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
**Windows Vista**
Windows Vista Service Pack 2 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows Vista x64 Edition Service Pack 2 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
**Windows Server 2008**
Windows Server 2008(用于 32 位系统)Service Pack 2 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows Server 2008(用于基于 x64 的系统)Service Pack 2 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
**Windows 7**
Windows 7(用于 32 位系统)Service Pack 1 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows 7(用于基于 x64 的系统)Service Pack 1 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
**Windows Server 2008 R2**
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
**Windows 8 和 Windows 8.1**
Windows 8(用于 32 位系统) (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows 8(用于基于 x64 的系统) (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows 8.1(用于 32 位系统) (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows 8.1(用于基于 x64 的系统) (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
**Windows Server 2012 和 Windows Server 2012 R2**
Windows Server 2012 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows Server 2012 R2 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
**Windows RT 和 Windows RT 8.1**
Windows RT (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows RT 8.1 (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
**服务器核心安装选项**
Windows Server 2008(用于 32 位系统)Service Pack 2(服务器核心安装) (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows Server 2008(用于基于 x64 的系统)Service Pack 2(服务器核心安装) (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装) (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows Server 2012(服务器核心安装) (3072633) **重要**  特权提升 **重要**  特权提升 **重要**
Windows Server 2012 R2(服务器核心安装) (3072633) **重要**  特权提升 **重要**  特权提升 **重要**

漏洞信息

多个 OLE 特权提升漏洞

在无法正确验证用户输入时,Microsoft Windows OLE 中存在特权提升漏洞。漏洞本身不允许运行任意代码。这些漏洞必须与允许远程执行代码的另一个漏洞一起使用。成功利用此漏洞的攻击者可能允许在受影响系统上权限受限的用户在中等完整性级别执行代码。

攻击者可能利用运行任意代码的其他漏洞。反过来,攻击者随后可能利用这些漏洞导致任意代码在中等完整性级别(当前用户的权限)运行。

此安全更新通过更正验证用户输入的方式来修复漏洞。

漏洞标题

CVE 编号

公开披露

已被利用

OLE 特权提升漏洞

CVE-2015-2416

OLE 特权提升漏洞

CVE-2015-2417

### 缓解因素 Microsoft 并未发现这些漏洞的任何[缓解因素](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 ### 变通办法 Microsoft 并未发现这些漏洞的任何[变通办法](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 安全更新部署 ------------ 有关安全更新部署信息,请参阅执行摘要中[此处](#kbarticle)引用的 Microsoft 知识库文章。 鸣谢 ---- Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅[鸣谢](https://technet.microsoft.com/zh-cn/library/security/dn903755.aspx)。 免责声明 -------- Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。 修订版本 -------- - V1.0(2015 年 7 月 14 日):公告已发布。 *页面生成时间:2015-07-14 14:28Z-07:00。*