Microsoft 資訊安全公告 MS16-034 - 重要

用來解決權限提高的 Windows 核心模式驅動程式安全性更新 (3143145)

發行日期:2016 年 3 月 8 日

版本: 1.0

提要

此安全性更新可解決 Microsoft Windows 中的弱點。如果攻擊者登入系統並執行蓄意製作的應用程式,則這些弱點可能允許權限提高。

對於所有受支援版本的 Microsoft Windows,此安全性更新的等級為「重要」。如需更多資訊,請參閱<受影響的軟體>一節。

此安全性更新可修正 Windows 處理記憶體中物件的方式,進而解決這些弱點。如需有關弱點的詳細資訊,請參閱<弱點資訊>一節。

如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章編號 3143145

受影響的軟體和弱點嚴重性等級

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站

針對每個受影響的軟體所指出的嚴重性等級假設弱點可能產生最大影響。在本資訊安全公告發行的 30 天內,如需弱點之易遭利用性與嚴重性等級和資訊安全影響之間對應關係的資訊,請參閱 3 月份公告摘要中的<弱點入侵指數>。

作業系統 Win32k 權限提高弱點 - CVE-2016-0093 Win32k 權限提高弱點 - CVE-2016-0094 Win32k 權限提高弱點 - CVE-2016-0095 Win32k 權限提高弱點 - CVE-2016-0096 已取代更新*
Windows Vista
Windows Vista Service Pack 2
(3139852)
重要
權限提高
重要
權限提高
重要
權限提高
重要
權限提高
MS16-018 中的 3134214
Windows Vista x64 Edition Service Pack 2
(3139852)
重要
權限提高
重要
權限提高
重要
權限提高
重要
權限提高
MS16-018 中的 3134214
Windows Server 2008
適用於 32 位元系統的 Windows Server 2008 Service Pack 2
(3139852)
重要
權限提高
重要
權限提高
重要
權限提高
重要
權限提高
MS16-018 中的 3134214
適用於 x64 型系統的 Windows Server 2008 Service Pack 2
(3139852)
重要
權限提高
重要
權限提高
重要
權限提高
重要
權限提高
MS16-018 中的 3134214
適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2
(3139852)
重要
權限提高
重要
權限提高
重要
權限提高
重要
權限提高
MS16-018 中的 3134214
Windows 7
適用於 32 位元系統的 Windows 7 Service Pack 1
(3139852)
重要
權限提高
重要
權限提高
重要
權限提高
重要
權限提高
MS16-018 中的 3134214
適用於 x64 系統的 Windows 7 Service Pack 1
(3139852)
重要
權限提高
重要
權限提高
重要
權限提高
重要
權限提高
MS16-018 中的 3134214
Windows Server 2008 R2
適用於 x64 系統的 Windows Server 2008 R2 Service Pack 1
(3139852)
重要
權限提高
重要
權限提高
重要
權限提高
重要
權限提高
MS16-018 中的 3134214
適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1
(3139852)
重要
權限提高
重要
權限提高
重要
權限提高
重要
權限提高
MS16-018 中的 3134214
Windows 8.1
適用於 32 位元系統的 Windows 8.1
(3139852)
重要
權限提高
重要
權限提高
中度
阻斷服務 (DoS)
重要
權限提高
MS16-018 中的 3134214
適用於 x64 型系統的 Windows 8.1
(3139852)
重要
權限提高
重要
權限提高
中度
阻斷服務 (DoS)
重要
權限提高
MS16-018 中的 3134214
Windows Server 2012 和 Windows Server 2012 R2
Windows Server 2012
(3139852)
重要
權限提高
重要
權限提高
中度
阻斷服務 (DoS)
重要
權限提高
MS16-018 中的 3134214
Windows Server 2012 R2
(3139852)
重要
權限提高
重要
權限提高
中度
阻斷服務 (DoS)
重要
權限提高
MS16-018 中的 3134214
Windows RT 8.1
Windows RT 8.1[1] (3139852) 重要
權限提高
重要
權限提高
重要
權限提高
重要
權限提高
Windows 10
適用於 32 位元系統的 Windows 10[2] (3140745) 重要
權限提高
重要
權限提高
中度
阻斷服務 (DoS)
重要
權限提高
3135174
適用於 x64 型系統的 Windows 10[2] (3140745) 重要
權限提高
重要
權限提高
中度
阻斷服務 (DoS)
重要
權限提高
3135174
適用於 32 位元系統的 Windows 10 1511 版[2] (3140768) 重要
權限提高
重要
權限提高
中度
阻斷服務 (DoS)
重要
權限提高
3140743
適用於 x64 型系統的 Windows 10 1511 版[2] (3140768) 重要
權限提高
重要
權限提高
中度
阻斷服務 (DoS)
重要
權限提高
3140743
Server Core 安裝選項
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)
(3139852)
重要
權限提高
重要
權限提高
重要
權限提高
重要
權限提高
MS16-018 中的 3134214
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)
(3139852)
重要
權限提高
重要
權限提高
重要
權限提高
重要
權限提高
MS16-018 中的 3134214
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝)
(3139852)
重要
權限提高
重要
權限提高
重要
權限提高
重要
權限提高
MS16-018 中的 3134214
Windows Server 2012 (Server Core 安裝)
(3139852)
重要
權限提高
重要
權限提高
中度
阻斷服務 (DoS)
重要
權限提高
MS16-018 中的 3134214
Windows Server 2012 R2 (Server Core 安裝)
(3139852)
重要
權限提高
重要
權限提高
中度
阻斷服務 (DoS)
重要
權限提高
MS16-018 中的 3134214

[1]更新是透過 Windows Update 提供。

[2]Windows 10 更新是累積性的。除了含有非安全性更新之外,其中還含有每月安全性更新發行隨附之所有受影響 Windows 10 弱點的所有安全性修正程式。此更新透過 Windows Update Catalog 提供。

注意 Windows Server Technical Preview 4 將受到影響。建議執行這些作業系統的客戶套用更新,您可以透過 Windows Update 取得更新。

* [已取代更新] 資料行僅顯示任何被取代更新鏈結中的最新更新。如需完整的已取代更新清單,請前往 Microsoft Update Catalog (英文),搜尋更新知識庫文章編號,然後檢視更新詳細資料 (已取代更新資訊位於 [套件詳細資料] 索引標籤)。

弱點資訊

多個 Win32k 提高權限弱點

Windows 核心模式驅動程式無法正確處理記憶體中的物件時,即存在多個 Win32k 權限提高弱點。成功利用此弱點的攻擊者可以在核心模式下執行任意程式碼。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。

如果要利用這些弱點,攻擊者首先必須登入系統。接著,攻擊者便可執行蓄意製作的應用程式來利用這些弱點,並取得受影響系統的控制權。此更新可修正 Windows 核心模式驅動程式處理記憶體中物件的方式,進而解決這些弱點。

下表包含「一般性弱點」清單中每個弱點的標準項目連結:

弱點標題 CVE 編號 已公開揭露 是否遭到利用
Win32k 權限提高弱點 CVE-2016-0093
Win32k 權限提高弱點 CVE-2016-0094
Win32k 權限提高弱點 CVE-2016-0095
Win32k 權限提高弱點 CVE-2016-0096

緩和因素

Microsoft 尚未找到這些弱點的任何緩和因素

因應措施

Microsoft 尚未找到這些弱點的任何因應措施

安全性更新部署

如需安全性更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。

致謝

Microsoft 了解資訊安全業界所做的努力,其盡責地透露弱點來協助我們保護客戶。請參閱致謝 (英文) 以取得詳細資訊。

免責聲明

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

  • V1.0 (2016 年 3 月 8 日):公告發行。

頁面產生時間:2016-03-01 16:38-08:00。