Microsoft 資訊安全公告 MS15-044 - 重大

Microsoft 字型驅動程式中的弱點可能會允許遠端執行程式碼 (3057110)

2015 年 5 月 12 日 | 更新日期:2015 年 5 月 21 日

版本: 2.0

提要

此安全性更新可以解決 Microsoft Windows、Microsoft.NET Framework、Microsoft Office、Microsoft Lync 和 Microsoft Silverlight 中的弱點。如果使用者開啟蓄意製作的文件,或是造訪內嵌 TrueType 字型的不受信任網頁,這些弱點中最嚴重者可能會允許遠端執行程式碼。

對於支援的 Microsoft Windows 版本,以及所有受影響的 Microsoft.NET Framework、Microsoft Office、Microsoft Lync 和 Microsoft Silverlight 版本,此安全性更新的等級為重大。如需更多資訊,請參閱<受影響的軟體>一節。

此安全性更新可以藉由更正 Windows DirectWrite 程式庫處理 OpenType 和 TrueType 字型的方式,來解決這些弱點。如需有關弱點的詳細資訊,請參閱<弱點資訊>一節。

如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章 3057110

受影響的軟體和弱點嚴重性等級

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站

針對每個受影響的軟體所指出的嚴重性等級假設弱點可能產生最大影響。在本安全性公告發行的 30 天內,如需弱點之易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊,請參閱 5 月份公告摘要中的<弱點索引>。

Microsoft Windows

**作業系統** **元件** [**OpenType 字型剖析弱點 - CVE-2015-1670**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1670) [**TrueType 字型剖析弱點 - CVE-2015-1671**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1671) **取代的更新**
**Windows Server 2003**
[Windows Server 2003 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46957) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows Server 2003 Service Pack 2 [Microsoft .NET Framework 3.0 Service Pack 2 (英文)](https://www.microsoft.com/zh-tw/download/details.aspx?id=46935) (3048073) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861189 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832411
Windows Server 2003 Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/zh-tw/download/details.aspx?id=46948)[1] (3048074) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS12-034](https://technet.microsoft.com/zh-tw/security/bulletin/ms12-034) 中的 2656405
[Windows Server 2003 x64 Edition Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46989) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows Server 2003 x64 Edition Service Pack 2 [Microsoft .NET Framework 3.0 Service Pack 2 (英文)](https://www.microsoft.com/zh-tw/download/details.aspx?id=46935) (3048073) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861189 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832411
Windows Server 2003 x64 Edition Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/zh-tw/download/details.aspx?id=46948)[1] (3048074) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS12-034](https://technet.microsoft.com/zh-tw/security/bulletin/ms12-034) 中的 2656405
[適用於 Itanium 型系統的 Windows Server 2003 SP2](https://www.microsoft.com/download/details.aspx?familyid=602c9586-689a-4bab-af57-c8b9bcd61640) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
**Windows Vista**
[Windows Vista Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46946) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows Vista Service Pack 2 [Microsoft .NET Framework 3.0 Service Pack 2 (英文)](https://www.microsoft.com/zh-tw/download/details.aspx?id=46936) (3048068) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861190 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832412
Windows Vista Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/zh-tw/download/details.aspx?id=46948)[1] (3048074) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS12-034](https://technet.microsoft.com/zh-tw/security/bulletin/ms12-034) 中的 2656405
Windows Vista Service Pack 2 [Microsoft .NET Framework 4.5/4.5.1/4.5.2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46938) (3048077) **重要** 資訊洩漏 **重大** 遠端執行程式碼
[Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=47016) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows Vista x64 Edition Service Pack 2 [Microsoft .NET Framework 3.0 Service Pack 2 (英文)](https://www.microsoft.com/zh-tw/download/details.aspx?id=46936) (3048068) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861190 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832412
Windows Vista x64 Edition Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/zh-tw/download/details.aspx?id=46948)[1] (3048074) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS12-034](https://technet.microsoft.com/zh-tw/security/bulletin/ms12-034) 中的 2656405
Windows Vista x64 Edition Service Pack 2 [Microsoft .NET Framework 4.5/4.5.1/4.5.2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46938) (3048077) **重要** 資訊洩漏 **重大** 遠端執行程式碼
**Windows Server 2008**
[32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=47031) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
32 位元系統的 Windows Server 2008 Service Pack 2 [Microsoft .NET Framework 3.0 Service Pack 2 (英文)](https://www.microsoft.com/zh-tw/download/details.aspx?id=46936) (3048068) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861190 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832412
32 位元系統的 Windows Server 2008 Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/zh-tw/download/details.aspx?id=46948)[1] (3048074) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS12-034](https://technet.microsoft.com/zh-tw/security/bulletin/ms12-034) 中的 2656405
32 位元系統的 Windows Server 2008 Service Pack 2 [Microsoft .NET Framework 4.5/4.5.1/4.5.2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46938) (3048077) **重要** 資訊洩漏 **重大** 遠端執行程式碼
[適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46992) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 [Microsoft .NET Framework 3.0 Service Pack 2 (英文)](https://www.microsoft.com/zh-tw/download/details.aspx?id=46936) (3048068) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861190 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832412
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/zh-tw/download/details.aspx?id=46948)[1] (3048074) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS12-034](https://technet.microsoft.com/zh-tw/security/bulletin/ms12-034) 中的 2656405
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 [Microsoft .NET Framework 4.5/4.5.1/4.5.2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46938) (3048077) **重要** 資訊洩漏 **重大** 遠端執行程式碼
[Itanium 系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=372aa8e3-d081-4fb6-bdc4-b3f2934833c5) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
**Windows 7**
[Windows 7 32 位元系統 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=46941) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows 7 32 位元系統 Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/zh-tw/download/details.aspx?id=46937) (3048070) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861191 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832414
[Windows 7 x64 系統 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=46953) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows 7 x64 系統 Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/zh-tw/download/details.aspx?id=46937) (3048070) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861191 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832414
**Windows Server 2008 R2**
[Windows Server 2008 R2 x64 系統 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=46945) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows Server 2008 R2 x64 系統 Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/zh-tw/download/details.aspx?id=46937) (3048070) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861191 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832414
[適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=6d2fcc77-47b2-4a04-8ffe-3f2bd5d1524e) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
**Windows 8 和 Windows 8.1**
[Windows 8 32 位元系統](https://www.microsoft.com/zh-tw/download/details.aspx?id=46994) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows 8 32 位元系統 [Microsoft .NET Framework 3.5](https://www.microsoft.com/zh-tw/download/details.aspx?id=46933) (3048071) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861194 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832418
[Windows 8 x64 系統](https://www.microsoft.com/zh-tw/download/details.aspx?id=46974) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows 8 x64 系統 [Microsoft .NET Framework 3.5](https://www.microsoft.com/zh-tw/download/details.aspx?id=46933) (3048071) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861194 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832418
[Windows 8.1 32 位元系統](https://www.microsoft.com/zh-tw/download/details.aspx?id=47015) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows 8.1 32 位元系統 [Microsoft .NET Framework 3.5](https://www.microsoft.com/zh-tw/download/details.aspx?id=46934) (3048072) **重要** 資訊洩漏 **重大** 遠端執行程式碼
[Windows 8.1 x64 系統](https://www.microsoft.com/zh-tw/download/details.aspx?id=46977) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows 8.1 x64 系統 [Microsoft .NET Framework 3.5](https://www.microsoft.com/zh-tw/download/details.aspx?id=46934) (3048072) **重要** 資訊洩漏 **重大** 遠端執行程式碼
**Windows Server 2012 和 Windows Server 2012 R2**
[Windows Server 2012](https://www.microsoft.com/zh-tw/download/details.aspx?id=46950) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows Server 2012 [Microsoft .NET Framework 3.5](https://www.microsoft.com/zh-tw/download/details.aspx?id=46933) (3048071) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861194 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832418
[Windows Server 2012 R2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46944) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows Server 2012 R2 [Microsoft .NET Framework 3.5](https://www.microsoft.com/zh-tw/download/details.aspx?id=46934) (3048072) **重要** 資訊洩漏 **重大** 遠端執行程式碼
**Windows RT 和 Windows RT 8.1**
Windows RT[2] (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows RT 8.1[2] (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
**Server Core 安裝選項**
[適用於 32 位元系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=47031) (Server Core 安裝) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
[適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46992) (Server Core 安裝) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
[適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1](https://www.microsoft.com/zh-tw/download/details.aspx?id=46945) (Server Core 安裝) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/zh-tw/download/details.aspx?id=46937) (3048070) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861191 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832414
[Windows Server 2012](https://www.microsoft.com/zh-tw/download/details.aspx?id=46950) (Server Core 安裝) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows Server 2012 (Server Core 安裝) [Microsoft .NET Framework 3.5](https://www.microsoft.com/zh-tw/download/details.aspx?id=46933) (3048071) **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS13-082](https://technet.microsoft.com/zh-tw/library/security/ms13-082) 中的 2861194 [MS13-052](https://technet.microsoft.com/zh-tw/library/security/ms13-052) 中的 2832418
[Windows Server 2012 R2](https://www.microsoft.com/zh-tw/download/details.aspx?id=46944) (Server Core 安裝) (3045171) 不適用 **重要** 資訊洩漏 **重大** 遠端執行程式碼 [MS15-023](https://technet.microsoft.com/zh-tw/library/security/ms15-023) 中的 3034344
Windows Server 2012 R2 (Server Core 安裝) [Microsoft .NET Framework 3.5](https://www.microsoft.com/zh-tw/download/details.aspx?id=46934) (3048072) **重要** 資訊洩漏 **重大** 遠端執行程式碼
**注意:**這些更新可供 Windows Technical Preview 和 Windows Server Technical Preview 使用。建議執行 Preview 版本的客戶套用更新,而這些更新是透過 [Windows Update](https://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=zh-tw) 提供的。

這些更新也可供 Microsoft .NET Framework 4.6 RC 使用,但僅能透過 Microsoft 下載中心取得。

[1].NET Framework 4 和 .NET Framework 4 Client Profile 會受到影響。

[2]更新僅透過 Windows Update 提供。

 

Microsoft Office

Office 軟體 OpenType 字型剖析弱點 - CVE-2015-1670 TrueType 字型剖析弱點 - CVE-2015-1671 取代的更新
Microsoft Office 2007 Service Pack 3
(2883029)
不適用 重大
遠端執行程式碼
MS14-036 中的 2878233
Microsoft Office 2010 Service Pack 2
(32 位元版本)
(2881073)
不適用 重大
遠端執行程式碼
MS14-036 中的 2863942
Microsoft Office 2010 Service Pack 2
(64 位元版本)
(2881073)
不適用 重大
遠端執行程式碼
MS14-036 中的 2863942
  ### Microsoft 通訊平台和軟體
軟體 OpenType 字型剖析弱點 - CVE-2015-1670 TrueType 字型剖析弱點 - CVE-2015-1671 取代的更新
Microsoft Live Meeting 2007 主控台[1]
(3051467)
不適用 重大
遠端執行程式碼
MS14-036 中的 2968966
Microsoft Lync 2010 (32 位元)
(3051464)
不適用 重大
遠端執行程式碼
MS14-036 中的 2963285
Microsoft Lync 2010 (64 位元)
(3051464)
不適用 重大
遠端執行程式碼
MS14-036 中的 2963285
Microsoft Lync 2010 Attendee[1]
(使用者層次安裝)
(3051465)
不適用 重大
遠端執行程式碼
MS14-036 中的 2963282
Microsoft Lync 2010 Attendee
(系統管理員層次安裝)
(3051466)
不適用 重大
遠端執行程式碼
MS14-036 中的 2963284
Microsoft Lync 2013 Service Pack 1 (32 位元)
(Skype for Business)
(3039779)
不適用 重大
遠端執行程式碼
MS14-036 中的 2881013
Microsoft Lync Basic 2013 Service Pack 1 (32 位元)
(Skype for Business Basic)
(3039779)
不適用 重大
遠端執行程式碼
MS14-036 中的 2881013
Microsoft Lync 2013 Service Pack 1 (64 位元)
(Skype for Business)
(3039779)
不適用 重大
遠端執行程式碼
MS14-036 中的 2881013
Microsoft Lync Basic 2013 Service Pack 1 (64 位元)
(Skype for Business Basic)
(3039779)
不適用 重大
遠端執行程式碼
MS14-036 中的 2881013
[1]此更新只能從 [Microsoft 下載中心](https://go.microsoft.com/fwlink/?linkid=21129)取得。   ### Microsoft 開發者工具和軟體
軟體 OpenType 字型剖析弱點 - CVE-2015-1670 TrueType 字型剖析弱點 - CVE-2015-1671 取代的更新
安裝在 Mac 上的 Microsoft Silverlight 5
(3056819)
不適用 重大
遠端執行程式碼
MS14-014 中的 2932677
安裝在 Mac 上的 Microsoft Silverlight 5 Developer Runtime
(3056819)
不適用 重大
遠端執行程式碼
MS14-014 中的 2932677
安裝在所有受支援版本的 Microsoft Windows 用戶端上的 Microsoft Silverlight 5
(3056819)
不適用 重大
遠端執行程式碼
MS14-014 中的 2932677
安裝在所有受支援版本之 Microsoft Windows 用戶端上的 Microsoft Silverlight 5 Developer Runtime
(3056819)
不適用 重大
遠端執行程式碼
MS14-014 中的 2932677
安裝在所有受支援版本的 Microsoft Windows 伺服器上的 Microsoft Silverlight 5
(3056819)
不適用 重大
遠端執行程式碼
MS14-014 中的 2932677
安裝在所有受支援版本之 Microsoft Windows 伺服器上的 Microsoft Silverlight 5 Developer Runtime
(3056819)
不適用 重大
遠端執行程式碼
MS14-014 中的 2932677
更新常見問題集 -------------- **為什麼此公告中列出的某些更新檔案也會在五月發行的其他公告中指出?** 此公告中列出的數個更新檔案也會在五月發行的其他公告中指出,因為受影響的軟體重疊。雖然不同公告解決個別資訊安全漏洞,但是一旦可行或適當的話,即會合併安全性更新,因此發生某些相同的更新檔案出現在多個公告中。 請注意,多個公告隨附的相同更新檔案只需安裝一次。 **部分受影響軟體有多個更新套件。我需要安裝「受影響的軟體」表中列出的更新的軟體嗎?** 是的。客戶應安裝針對其系統上之軟體所提供的所有更新。如果有多個更新適用,則可以依任何順序安裝它們。 **我該如何分辨已安裝的 Microsoft .NET Framework 版本?** 您可以在一個系統上安裝和執行多個版本的 .NET Framework,且能以任何順序安裝各版本。如需更多資訊,請參閱 [Microsoft 知識庫文件編號 318785](https://support.microsoft.com/zh-tw/kb/318785)。 **.NET Framework 4 與 .NET Framework 4 Client Profile 之間有何差異?** 可在兩個設定檔中使用 .NET Framework 第 4 版可轉散發套件:.NET Framework 4 和 .NET Framework 4 Client Profile。.NET Framework 4 Client Profile 是 .NET Framework 4 設定檔的子集,其已針對用戶端應用程式進行最佳化。它會為多數用戶端應用程式提供功能,包括 Windows Presentation Foundation (WPF)、Windows Forms、Windows Communication Foundation (WCF) 和 ClickOnce 功能。這可為以 .NET Framework 4 Client Profile 為目標的應用程式進行更快速的部署及使用更小的安裝套件。如需詳細資訊,請參閱 MSDN 文章:[.NET Framework Client Profile](https://msdn.microsoft.com/zh-tw/library/cc656912) (英文)。 **我是否必須按照特定順序來安裝這些資訊安全更新?** 否。特定的作業系統如有多項更新,套用時無需按照特定順序。 **我使用「受影響的軟體」表中未明確列出的軟體,但卻收到 Microsoft Office 更新。為什麼提供我這項更新?** 此更新可解決多項 Microsoft Office 產品 (或多個相同 Microsoft Office 產品版本) 之間共用元件中受影響的程式碼,凡是含有易受影響之元件的產品或版本,均適用這項更新。 例如,某項更新套用至 Microsoft Office 2007 的各項產品時,在「受影響的軟體」表中只會明確列出 Microsoft Office 2007。然而這項更新可以套用至 Microsoft Word 2007、Microsoft Excel 2007、Microsoft Visio 2007、Microsoft 相容性套件、Microsoft Excel Viewer 或「受影響的軟體」表中其他未明確列出的 Microsoft Office 2007 產品。此外,某項更新適用於 Microsoft Office 2010 的各項產品時,在<受影響的軟體>表中只會明確列出 Microsoft Office 2010。然而這項更新可以套用至 Microsoft Word 2010、Microsoft Excel 2010、Microsoft Visio 2010、Microsoft Visio Viewer 或「受影響的軟體」表中其他未明確列出的 Microsoft Office 2010 產品。 如需更多有關這種行為和建議動作的資訊,請參閱 [Microsoft 知識庫文章編號 830335](https://support.microsoft.com/zh-tw/kb/830335)。如需可套用更新的 Microsoft Office 產品清單,請參閱與特定更新相關的 Microsoft 知識庫文章。 **我目前執行的是列為受影響軟體的 Office 2010。為什麼我沒有收到這項安全性更新?**  該更新只提供給在受支援版本之 Windows Server 2003 上執行 Microsoft Office 2010 的系統。這項更新不適用其他受支援的設定,因為其他設定中不存在受影響的程式碼。 **有任何非安全性新更新是客戶應隨著 Microsoft Live Meeting Console 安全性更新安裝的嗎?**  是的,除了發行 Microsoft Live Meeting Console 的安全性更新,Microsoft 已發行下列 Outlook 的 OCS Conferencing 增益集非安全性更新。如果適用,Microsoft 建立客戶安裝這些更新以讓他們的系統保持在最新狀態。 - Outlook 的 OCS Conferencing 增益集 (32 位元) (3051468) - Outlook 的 OCS Conferencing 增益集 (64 位元) (3051468) 如需更多資訊,請參閱 [Microsoft 知識庫文章編號 3051468](https://support.microsoft.com/zh-tw/kb/3051468)。 **為什麼只能從 Microsoft 下載中心取得 Lync 2010 Attendee (使用者層次安裝) 更新?** 因為 Microsoft 只有在[「Microsoft 下載中心」](https://go.microsoft.com/fwlink/?linkid=21129) (英文) 中發行 Lync 2010 Attendee (使用者層次安裝) 的更新。由於 Lync 2010 Attendee (使用者層級安裝) 是透過 Lync 工作階段進行處理,自動更新等發佈方法並不適用於此類型的安裝案例。 **哪些網頁瀏覽器支援 Microsoft Silverlight 應用程式?** 為了執行 Microsoft Silverlight 應用程式,大多數網頁瀏覽器 (包含 Microsoft Internet Explorer) 都需要安裝 Microsoft Silverlight 和啟用對應的外掛程式。如需 Microsoft Silverlight 的詳細資訊,請參閱 [Microsoft Silverlight](https://www.microsoft.com/silverlight/) 官方網站。請參閱瀏覽器的文件,瞭解如何停用或移除外掛程式。 **哪些版本的 Microsoft Silverlight 5 會受到此弱點影響?** Microsoft Silverlight 組建 5.1.40416.00 是本公告首次發行以來最新的 Microsoft Silverlight 版本,不僅能夠解決弱點,而且不受影響。5.1.40416.00 之前的 Microsoft Silverlight 組建會受到影響。 **如何知道系統上目前安裝的 Microsoft Silverlight 版本和組建?** 如果電腦上已安裝 Microsoft Silverlight,您可以造訪[取得 Microsoft Silverlight](https://www.microsoft.com/getsilverlight) 頁面,該頁面將指出您系統上目前安裝之 Microsoft Silverlight 的版本和組建。此外,您可以使用目前版本 Microsoft Internet Explorer 的 \[管理附加元件\] 功能,判定系統上目前安裝的版本和組建資訊。 您也可以手動檢查 "%ProgramFiles%\\Microsoft Silverlight" 目錄 (於 x86 Microsoft Windows 系統) 或 "%ProgramFiles(x86)%\\Microsoft Silverlight" 目錄 (於 x64 Microsoft Windows 系統) 中的 sllauncher.exe 版本號碼。 此外,在 Microsoft Windows 上,您可在以下登錄中找到目前所安裝 Microsoft Silverlight 版本的版本和組建編號資訊:x86 Microsoft Windows 系統上的 \[HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Silverlight\]:Version,或 x64 Microsoft Windows 系統上的 \[HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\Silverlight\]:Version。 在 Apple Mac OS 上,可依下列步驟找到目前所安裝 Microsoft Silverlight 版本的版本和組建編號資訊: 1. 開啟 **\[尋找程式\]** 2. 選取系統磁碟機並移至資料夾 **Internet Plug-ins - Library** 3. 在 **Silverlight.Plugin** 檔案上按一下滑鼠右鍵 (如果您的滑鼠僅有一個按鈕,請按一下檔案,同時按下 **Ctrl** 鍵),以叫出內容功能表,然後按一下 **\[顯示套件內容\]** 4. 在內容資料夾中,找到檔案 **info.plist** 並用編輯器開啟。該檔案會包含這類項目,其中會顯示版本號碼: SilverlightVersion 5.1.40416.00 與 Microsoft Silverlight 5 的這個安全性更新一起安裝的版本是 5.1.40416.00。如果 Microsoft Silverlight 5 版本號碼高於或等於此版本號碼,則您的系統不易遭受攻擊。 **如何升級 Microsoft Silverlight 版本?**  Microsoft Silverlight 自動更新功能可確保 Microsoft Silverlight 安裝有最新的 Microsoft Silverlight 版本、Microsoft Silverlight 功能和資訊安全功能。如需更多關於 Microsoft Silverlight 自動更新功能的資訊,請參閱 [Microsoft Silverlight Updater](https://www.microsoft.com/getsilverlight/resources/documentation/updater.aspx)。已停用 Microsoft Silverlight 自動更新功能的 Windows 使用者,可於 [Microsoft Update](https://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=zh-tw) 註冊,以取得最新版本的 Microsoft Silverlight,或使用前述**受影響及不受影響的軟體**一節內「受影響的軟體」表格中的下載連結,手動下載最新版本的 Microsoft Silverlight。如需在企業環境中部署 Microsoft Silverlight 的更多資訊,請參閱 [Silverlight 企業部署指南](https://go.microsoft.com/fwlink/?linkid=119611)。 **此更新是否將升級我的 Silverlight 版本**? 3056819 更新會將舊版 Silverlight 升級至 Silverlight 5.1.40416.00 版。Microsoft 建議升級,以避免本公告中所描述的弱點。 **哪裡可以找到關於 Silverlight 產品週期的更多資訊?** 如需有關 Silverlight 的週期資訊,請參閱 [Microsoft Silverlight 支援週期準則](https://support.microsoft.com/gp/lifean45)。 弱點資訊 -------- OpenType 字型剖析弱點 - CVE-2015-1670 ------------------------------------- 當 Windows DirectWrite 程式庫未適當地處理 OpenType 字型時,資訊洩漏弱點即會存在於 Microsoft Windows 中。成功利用這個弱點的攻擊者可以讀取不應遭到洩漏的資料。請注意,這個弱點不會直接允許攻擊者執行程式碼或提升權限,但能用來取得資訊,因而進一步破壞受影響系統。 若要利用此弱點,攻擊者可以架設其設計目的在於利用此弱點的蓄意製作網站,然後引誘使用者檢視該網站。這同時包括受侵害的網站,以及接受或存放使用者提供內容或廣告的網站。但是,攻擊者無法強迫使用者造訪這類網站,而是,攻擊者將必須引誘使用者造訪網站,一般做法是藉助 Instant Messenger 中的附件,或是電子郵件訊息。 此更新可以藉由更正 Windows DirectWrite 程式庫處理 OpenType 字型的方式,來解決此弱點。Microsoft 是經由協同合作的來源接獲有關此弱點的訊息。本資訊安全公告發行時,Microsoft 尚未接到任何有關本弱點已公開用來攻擊客戶的消息。 ### 緩和因素 Microsoft 尚未找到此項弱點的任何[緩和因素](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 ### 因應措施 Microsoft 尚未找到此項弱點的任何[因應措施](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 TrueType 字型剖析弱點 - CVE-2015-1671 ------------------------------------- 當 Windows、.NET Framework、Office、Lync 和 Silverlight 的元件無法適當地處理 TrueType 字型時,即會存遠端執行程式碼弱點。成功利用此弱點的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。 有多種攻擊者可以利用此弱點的方式,包括引誘使用者開啟蓄意製作的文件,或引誘他們造訪內嵌 TrueType 字型的不受信任網頁。 此更新可以藉由更正 Windows DirectWrite 程式庫處理 TrueType 字型的方式,來解決此弱點。Microsoft 是經由協同合作的來源接獲有關此弱點的訊息。本資訊安全公告發行時,Microsoft 尚未接到任何有關本弱點已公開用來攻擊客戶的消息。 ### 緩和因素 Microsoft 尚未找到此項弱點的任何[緩和因素](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 ### 因應措施 Microsoft 尚未找到此項弱點的任何[因應措施](https://technet.microsoft.com/zh-tw/library/security/dn848375.aspx)。 安全性更新部署 -------------- 如需安全性更新部署資訊,請在[這裡](#kbarticle)參閱<提要>中的 Microsoft 知識庫文章。 致謝 ---- Microsoft 了解資訊安全業界所做的努力,其盡責地透露弱點來協助我們保護客戶。請參閱[致謝](https://technet.microsoft.com/zh-tw/library/security/dn903755.aspx) (英文) 以取得詳細資訊。 免責聲明 -------- Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。 修訂 ---- - V1.0 (2015 年 5 月 12 日):公告發行。 - V2.0 (2015 年 5 月 21 日):修訂公告,宣佈新的更新 (3065979) 已可供使用,此更新會修正有些客戶在所有受支援版本之 Windows 7/Windows 2008 R2 或更早版本上安裝 3045171 安全性更新後,遇到的已知問題。當客戶嘗試使用 GDI+ 建立文字外框式的路徑物件時,3045171 安全性更新會導致客戶應用程式當機。遇到此已知問題的客戶可以透過安裝 3065979 更新更正此問題。請參閱 [Microsoft 知識庫文章編號 3065979](https://support.microsoft.com/zh-tw/kb/3065979),以取得更多資訊及下載連結。 *頁面產生時間:2015-05-29 10:33Z-07:00。*