Microsoft 資訊安全公告 MS16-050 - 重大

Adobe Flash Player 的安全性更新 (3154132)

發行日期:2016 年 4 月 12 日

版本: 1.0

提要

此安全性更新可解決安裝於 Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1 和 Windows 10 上之 Adobe Flash Player 中的弱點。

此安全性更新的等級為「重大」。此更新可更新 Internet Explorer 10、Internet Explorer 11 和 Microsoft Edge 中受影響的 Adobe Flash 程式庫,以解決 Adobe Flash Player 中的弱點。如需更多資訊,請參閱<受影響的軟體>一節。

如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章編號 3154132

弱點資訊

此安全性更新可解決 Adobe 資訊安全公告 APSB16-10 中描述的以下弱點:

CVE-2016-1006、CVE-2016-1011、CVE-2016-1012、CVE-2016-1013、CVE-2016-1014、CVE-2016-1015、CVE-2016-1016、CVE-2016-1017、CVE-2016-1018 和 CVE-2016-1019。

受影響的軟體

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站

作業系統

元件

彙總嚴重性及影響

已取代更新*

Windows 8.1

適用於 32 位元系統的 Windows 8.1

Adobe Flash Player
(3154132)

重大
遠端執行程式碼

MS16-036 中的 3144756

適用於 x64 型系統的 Windows 8.1

Adobe Flash Player
(3154132)

重大
遠端執行程式碼

MS16-036 中的 3144756

Windows Server 2012 和 Windows Server 2012 R2

Windows Server 2012

Adobe Flash Player
(3154132)

中度
遠端執行程式碼

MS16-036 中的 3144756

Windows Server 2012 R2

Adobe Flash Player
(3154132)

中度
遠端執行程式碼

MS16-036 中的 3144756

Windows RT 8.1

Windows RT 8.1[1]

Adobe Flash Player
(3154132)

重大
遠端執行程式碼

MS16-036 中的 3144756

Windows 10

適用於 32 位元系統的 Windows 10[2]

Adobe Flash Player
(3154132)

重大
遠端執行程式碼

MS16-036 中的 3144756

適用於 x64 型系統的 Windows 10 [2]

Adobe Flash Player
(3154132)

重大
遠端執行程式碼

MS16-036 中的 3144756

適用於 32 位元系統的 Windows 10 1511 版[2]

Adobe Flash Player
(3154132)

重大
遠端執行程式碼

MS16-036 中的 3144756

適用於 x64 型系統的 Windows 10 1511 版[2]

Adobe Flash Player
(3154132)

重大
遠端執行程式碼

MS16-036 中的 3144756

[1]更新是透過 Windows Update 提供。

[2]適用於 Windows 10 更新的 Adobe FlashPlayer 更新可透過 Windows UpdateMicrosoft Update Catalog 取得。

注意 Windows Server 2016 Technical Preview 4 和 Windows Server 2016 Technical Preview 5 已受到影響,彙總嚴重性等級為「重大」,而影響等級為「中度」(遠端執行程式碼)。建議執行這些作業系統的客戶套用更新,您可以透過 Windows Update 取得更新。

* [已取代更新] 資料行僅顯示任何被取代更新鏈結中的最新更新。如需完整的已取代更新清單,請前往 Microsoft Update Catalog (英文),搜尋更新知識庫文章編號,然後檢視更新詳細資料 (已取代更新資訊位於 [套件詳細資料] 索引標籤)。

常見問題集

攻擊者可用什麼方式利用這些弱點?
在使用者於桌面使用 Internet Explorer 的網頁式攻擊案例中,攻擊者可架設一個蓄意製作、用以透過 Internet Explorer 利用這些弱點的網站,然後引誘使用者觀看該網站。攻擊者也可以嵌入 ActiveX 控制項,該控制項在內含 IE 轉譯引擎的應用程式或 Microsoft Office 文件中標示為「安全的初始化」。攻擊者也可能利用受侵害的網站,以及接受或裝載使用者提供內容或廣告的網站。這些網站可能含有蓄意製作以利用此類弱點的內容。但是,攻擊者無法強迫使用者檢視受攻擊者控制的內容,而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件訊息或 Instant Messenger 中通往攻擊者網站的連結,或開啟經由電子郵件傳送的附件。

在使用者於 Windows 8 樣式 UI 中使用 Internet Explorer 的網頁式攻擊案例中,攻擊者需要先入侵已經在相容性檢視 (CV) 清單中的網站。然後攻擊者可以針對這類經由 Internet Explorer 利用的弱點來設計並架設包含蓄意製作的 Flash 內容的網站,然後引誘使用者檢視該網站。但是,攻擊者無法強迫使用者檢視受攻擊者控制的內容,而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件訊息或 Instant Messenger 中通往攻擊者網站的連結,或開啟經由電子郵件傳送的附件。如需更多有關 Internet Explorer 和 CV 清單的資訊,請參閱 MSDN 文章:Windows 8 中內容需使用 Adobe Flash Player 之網站的開發人員指導方針

緩和因素

緩和因素是指存在於預設狀態中的設定、共用設定或一般最佳作法,可能會減少弱點影響的嚴重性。下列緩和因素可能對您的狀況有所助益:

  • 在網頁式攻擊案例中,當使用者於桌面使用 Internet Explorer 時,攻擊者可架設一個網站,並在其中包含用來利用此弱點的網頁。此外,受侵害的網站以及接受或存放使用者提供之內容或廣告的網站裡,也可能包含蓄意製作以利用這類弱點的內容。但是,在所有情況下,攻擊者無法強迫使用者造訪這類網站,而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件或 Instant Messenger 訊息中連往攻擊者網站的連結。
  • 在 Windows 8 樣式 UI 中的 Internet Explorer 只會播放來自相容性檢視 (CV) 清單中所列網站的 Flash 內容。這項限制使得攻擊者必須先入侵 CV 清單中所列的網站,然後才能針對這類經由 Internet Explorer 利用的弱點來設計並架設蓄意製作的 Flash 內容,然後引誘使用者檢視該網站。但是,攻擊者無法強迫使用者檢視受攻擊者控制的內容,而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件訊息或 Instant Messenger 中通往攻擊者網站的連結,或開啟經由電子郵件傳送的附件。
  • 依照預設,所有 Microsoft Outlook 及 Windows Live Mail 支援版本都會在 [限制的網站] 區域開啟 HTML 電子郵件訊息。[限制的網站] 區域會停用指令碼與 ActiveX 控制項,進而協助降低攻擊者能夠利用這類弱點執行惡意程式碼的風險。如果使用者按下電子郵件訊息中的連結,仍有可能因為網頁式攻擊而受這類弱點遭利用的影響。
  • 依照預設,Windows Server 2012 和 Windows Server 2012 R2 上的 Internet Explorer 會以稱為增強式資訊安全設定的受限制模式執行。此模式有助於降低在 Internet Explorer 中 Adobe Flash Player 弱點遭到利用的可能性。

因應措施

「因應措施」指的是有助於在套用更新之前封鎖已知攻擊模式的設定或組態變更。

  • 避免執行 Adobe Flash Player

    透過在登錄檔中設定控制項的 Kill Bit (刪除位元),您可以在 Internet Explorer 和其他提供 Kill Bit (刪除位元) 功能的應用程式 (例如 Office 2007 和 Office 2010) 中禁止嘗試具現化 Adobe Flash Player。

    警告:如果使用「登錄編輯程式」的方式錯誤,可能造成嚴重問題,以致於您必須重新安裝作業系統。Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用 [登錄編輯程式] 的風險。

    若要在登錄檔中設定控制項的 Kill Bit (刪除位元),請執行下列步驟:

    1. 貼上下列內容到一個文字檔中,並使用 .reg 副檔名儲存。

          Windows Registry Editor Version 5.00
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
          [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
    2. 連按兩下 .reg 檔案,將檔案套用至個別的系統。 您也可以使用群組原則將此因應措施套用到整個網域。如需更多關於「群組原則」的資訊,請參閱 TechNet 文章:群組原則集合

    注意:您必須重新啟動 Internet Explorer,才能讓變更產生效用。

    因應措施的影響。只要不在 Internet Explorer 中使用物件,就不會有任何影響。

    如何復原因應措施。刪除先前實作此因應措施所新增的登錄機碼。

  • 使用群組原則避免在 Internet Explorer 中執行 Adobe Flash Player

    注意: 群組原則 MMC 嵌入式管理單元可用來設定單一機器、單一組織單位,或是整個網域的原則。如需有關「群組原則」的詳細資訊,請造訪下列 Microsoft 網站:

    群組原則概觀

    什麼是群組原則物件編輯器?

    核心群組原則工具及設定

    若要使用群組原則停用 Internet Explorer 中的 Adobe Flash Player,請執行下列步驟:

    注意: 此因應措施並無法避免從其他程式中呼叫 Flash,例如 Microsoft Office 2007 或 Microsoft Office 2010。

    1. 開啟群組原則管理主控台,並設定主控台,使其使用適當的群組原則物件,例如本機電腦、OU 或網域 GPO。
    2. 瀏覽至以下節點:
      系統管理範本 -> Windows 元件 -> Internet Explorer -> 資訊安全功能 -> 附加元件管理
    3. 按兩下 [在 Internet Explorer 中關閉 Adobe Flash,避免應用程式使用 Internet Explorer 技術具現化 Flash 物件]
    4. 變更設定為 [啟用]
    5. 按一下 [套用],然後按一下 [確定] 返回群組原則管理主控台。
    6. 在所有系統上更新群組原則,或是等待下次排程的群組更新時間,讓設定生效。
  • 在受影響系統的 Office 2010 中停用 Adobe Flash Player

    注意: 此因應措施並不會在 Internet Explorer 中停用 Adobe Flash Player。

    警告:如果使用「登錄編輯程式」的方式錯誤,可能造成嚴重問題,以致於您必須重新安裝作業系統。Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用 [登錄編輯程式] 的風險。

    如需避免控制項在 Internet Explorer 中執行的詳細步驟,請參閱 Microsoft 知識庫文件編號 240797。按照文章中的步驟,在登錄中建立 Compatibility Flags 值,以避免在 Internet Explorer 中產生 COM 物件。

    若只要在 Office 2010 中停用 Adobe Flash Player,請在登錄中使用下列步驟設定 Adobe Flash Player 的 ActiveX 控制項 Kill Bit (刪除位元):

    1. 建立名稱為 Disable_Flash.reg 的文字檔,且要包含下列內容:

          Windows Registry Editor Version 5.00
      
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
          "Compatibility Flags"=dword:00000400
      
    2. 連按兩下 .reg 檔案,將檔案套用至個別的系統。

    3. 注意:您必須重新啟動 Internet Explorer,才能讓變更產生效用。

      您也可以使用群組原則將此因應措施套用到整個網域。如需更多關於「群組原則」的資訊,請參閱 TechNet 文章:群組原則集合

  • 防止在 Office 2007 和 Office 2010 中執行 ActiveX 控制項

    若要在 Microsoft Office 2007 與 Microsoft Office 2010 中停用 ActiveX 控制項,包括 Internet Explorer 中的 Adobe Flash Player,請執行下列步驟:

    1. 依序按下 [檔案]、[選項]、[信任中心],然後按下[信任中心設定]
    2. 在左側窗格中按一下 [ActiveX設定],然後選取 [不提示並停用所有控制項]
    3. 按一下 [確定] 以儲存設定。

    因應措施的影響。有內嵌 ActiveX 控制項的 Office 文件可能無法如預期般顯示。

    如何復原因應措施。

    若要重新啟用 Microsoft Office 2007 和 Microsoft Office 2010 中的 ActiveX 控制項,請執行下列步驟:

    1. 依序按下 [檔案]、[選項]、[信任中心],然後按下[信任中心設定]
    2. 按一下左側窗格中的 [ActiveX設定],然後取消選取 [不提示並停用所有控制項]
    3. 按一下 [確定] 以儲存設定。
  • 將 [網際網路] 及 [近端內部網路] 安全性區域設定為 [高],可封鎖這些區域中的 ActiveX 控制項及動態指令碼處理

    只要將網際網路安全性區域設定變更為封鎖 ActiveX 控制項及動態指令碼處理,即可防範這些弱點遭到利用。做法是將瀏覽器的資訊安全設定為 [高]。

    若要在 Internet Explorer 中提高瀏覽器的安全層級,請執行下列步驟:

    1. 在 Internet Explorer 的 [工具] 功能表,按一下 [網際網路選項]
    2. [網際網路選項] 對話方塊中,按一下 [安全性] 索引標籤,然後按一下 [網際網路]
    3. [此區域的安全性等級] 下方,將滑桿移至 [高]。如此即可將您所造訪的所有網站都設定為 [高] 安全層級。
    4. 按一下 [近端內部網路]
    5. [此區域的安全性等級] 下方,將滑桿移至 [高]。如此即可將您所造訪的所有網站都設定為 [高] 安全層級。
    6. 按一下 [確定] 接受所有變更,回到 Internet Explorer。

    注意:如果沒有顯示滑桿,按一下 [預設層級],再將滑桿移至 [高安全性]

    注意:設定為 [高] 安全性層級可能會使部分網站無法正確運作。如果變更這項設定之後,您在使用網站時遇到問題,而又確定該網站安全無虞能放心使用,便可將該網站加入信任的網站清單中。如此一來,即使採用 [高] 設定,該網站仍可正確運作。

    因應措施的影響。封鎖 ActiveX 控制項和動態指令碼處理會產生副作用。許多網際網路及內部網路的網站使用 ActiveX 或動態指令碼提供額外的功能。例如,線上電子商務網站或銀行網站會利用 ActiveX 控制項提供功能表、訂單、甚至是帳戶明細。封鎖 ActiveX 控制項或動態指令碼處理是一種通用設定,該設定會影響所有網際網路及內部網路網站。如果您不希望封鎖這些網站的 ActiveX 控制項或動態指令碼處理,請使用「將信任的網站加入 Internet Explorer [信任的網站] 區域」的步驟。

  • 設定 Internet Explorer,以便在執行動態指令碼之前先行提示或停用網際網路及近端內部網路安全性區域內的動態指令碼

    只要將設定變更為在執行或停用網際網路及近端內部網路安全性區域內的動態指令碼之前先提示,即可防範這些弱點遭到利用。若要如此做,請執行下列步驟:

    1. 在 Internet Explorer 中,按一下 [工具] 功能表的 [網際網路選項]
    2. 按一下 [安全性] 索引標籤。
    3. 按一下 [網際網路],然後按 [自訂等級]
    4. [設定][指令碼處理] 區段中,按一下 [Active Scripting] 下的 [提示][停用],然後按一下 [確定]
    5. 按一下 [近端內部網路],然後按 [自訂層級]
    6. [設定][指令碼處理] 區段中,按一下 [Active Scripting] 下的 [提示][停用],然後按一下 [確定]
    7. 按一下 [確定] 回到 Internet Explorer,然後再按一下 [確定] 一次。

    注意:在網際網路和近端內部網路安全性區域中停用動態指令碼,可能會導致部分網站無法正確運作。如果變更這項設定之後,您在使用網站時遇到問題,而又確定該網站安全無虞能放心使用,便可將該網站加入信任的網站清單中。這樣就能讓網站正確運作。

    因應措施的影響:執行動態指令碼前先提示的設定會產生副作用。許多網際網路及內部網路的網站使用動態指令碼提供額外的功能。例如,線上電子商務網站或銀行網站會利用動態指令碼提供功能表、訂單、甚至是帳戶明細。執行動態指令碼前先提示屬於通用設定,會影響所有網際網路及內部網路網站。使用這個因應措施的話,您會時常收到提示。每次出現提示時,如果您覺得可以信任該網站,請按 [是] 執行動態指令碼。如果您不要收到這些網站的提示,請改用「將信任的網站加入 Internet Explorer [信任的網站] 區域」的步驟。

  • 將信任的網站加入 Internet Explorer [信任的網站] 區域

    當您完成設定,使 Internet Explorer 在網際網路區域及近端內部網路區域執行 ActiveX 控制項及動態指令碼處理前會顯示提示之後,即可將信任的網站加入 Internet Explorer [信任的網站] 區域。之後您就可以依照平時習慣使用信任的網站,同時預防不信任網站的這類攻擊。我們建議您只將信任的網站加入 [信任的網站] 區域。

    若要如此做,請執行下列步驟:

    1. 在 Internet Explorer 中,依序按一下 [工具][網際網路選項],然後按一下 [安全性] 索引標籤。
    2. [請選擇網頁內容區域來指定它的資訊安全設定] 方塊中,按一下 [信任的網站],然後按一下 [網站]
    3. 如果您要加入的網站不需要加密通道,請按一下滑鼠清除 [此區域內的所有網站需要伺服器驗證 (https:)] 核取方塊。
    4. [將這個網站新增到區域] 方塊中,鍵入信任網站的 URL,然後按一下 [新增]
    5. 為每一個要加入此區域的網站重複以上步驟。
    6. 按兩次 [確定] 接受所有變更,回到 Internet Explorer。

    注意:您可以加入任何您相信不會對您的系統進行惡意動作的網站。您可能會想要加入 *.windowsupdate.microsoft.com*.update.microsoft.com 這兩個網站。這些網站提供各項更新,並需要 ActiveX 控制項才能安裝更新。

安全性更新部署

如需安全性更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。

致謝

Microsoft 了解資訊安全業界所做的努力,其盡責地透露弱點來協助我們保護客戶。請參閱致謝 (英文) 以取得詳細資訊。

免責聲明

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

  • V1.0 (2016 年 4 月 12 日):公告發行。

頁面產生時間:04.04.16 13:13:00-07:00。