Microsoft 資訊安全公告 MS16-127 - 重大

Adobe Flash Player 的安全性更新 (3194343)

發行日期:2016 年 10 月 11 日

版本: 1.0

提要

此安全性更新可解決安裝於 Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1 和 Windows 10 上之 Adobe Flash Player 中的弱點。

此安全性更新的等級為「重大」。此更新可修正 Adobe Flash Player,並且更新在 Internet Explorer 10、Internet Explorer 11 和 Microsoft Edge 受影響的 Adobe Flash 程式庫,進而解決這些弱點。如需詳細資訊,請參閱<受影響的軟體>一節。

如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章編號 3194343

弱點資訊

安全性更新可修正下列弱點,詳情請參閱 Adobe 資訊安全公告 APSB16-32

CVE-2016-4273、CVE-2016-4286、CVE-2016-6981、CVE-2016-6982、CVE-2016-6983、CVE-2016-6984、CVE-2016-6985、CVE-2016-6986、CVE-2016-6987、CVE-2016-6989、CVE-2016-6990、CVE-2016-6992

受影響的軟體

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站

作業系統 元件 彙總嚴重性和影響 取代的更新*
Windows 8.1
適用於 32 位元系統的 Windows 8.1 Adobe Flash Player
(3194343)
重大
遠端執行程式碼
MS16-117 中的 3188128
適用於 x64 型系統的 Windows 8.1 Adobe Flash Player
(3194343)
重大
遠端執行程式碼
MS16-117 中的 3188128
Windows Server 2012 和 Windows Server 2012 R2
Windows Server 2012 Adobe Flash Player
(3194343)
中度
遠端執行程式碼
MS16-117 中的 3188128
Windows Server 2012 R2 Adobe Flash Player
(3194343)
中度
遠端執行程式碼
MS16-117 中的 3188128
Windows RT 8.1
Windows RT 8.1 Adobe Flash Player
(3194343)[1]
重大
遠端執行程式碼
MS16-117 中的 3188128
Windows 10
適用於 32 位元系統的 Windows 10 Adobe Flash Player
(3194343)[2]
重大
遠端執行程式碼
MS16-117 中的 3188128
適用於 x64 型系統的 Windows 10 Adobe Flash Player
(3194343)[2]
重大
遠端執行程式碼
MS16-117 中的 3188128
適用於 32 位元系統的 Windows 10 1511 版 Adobe Flash Player
(3194343)[2]
重大
遠端執行程式碼
MS16-117 中的 3188128
適用於 x64 型系統的 Windows 10 1511 版 Adobe Flash Player
(3194343)[2]
重大
遠端執行程式碼
MS16-117 中的 3188128
適用於 32 位元系統的 Windows 10 1607 版 Adobe Flash Player
(3194343)[2]
重大
遠端執行程式碼
MS16-117 中的 3188128
適用於 x64 型系統的 Windows 10 1607 版 Adobe Flash Player
(3194343)[2]
重大
遠端執行程式碼
MS16-117 中的 3188128

[1]此更新透過 Windows Update 提供。

[2]適用於 Windows 10 更新的 Adobe FlashPlayer 更新可透過 Windows UpdateMicrosoft Update Catalog 取得。

注意:此公告討論的弱點會影響 Windows Server 2016 Technical Preview 5。若要保護系統免受這些弱點影響,Microsoft 建議執行此作業系統的客戶套用最新更新,您可以透過 Windows Update 提供。

*[取代的更新] 欄位僅顯示所有已取代更新鏈結中的最新更新。如需完整的已取代更新清單,請前往 Microsoft Update Catalog,搜尋更新知識庫文章編號,然後檢視更新詳細資料 (取代的更新資訊位於 [Package Details] 索引標籤)。

常見問題集

攻擊者可能會如何利用這些弱點?
在網頁式攻擊案例中,當使用者正在桌面使用 Internet Explorer,攻擊者可架設一個蓄意製作的網站,專門為透過 Internet Explorer 利用任一弱點而設計,然後引誘使用者瀏覽該網站。攻擊者也可在主控 IE 轉譯引擎的應用程式或 Microsoft Office 文件中內嵌 ActiveX 控制項,並標示為「可安全初始化」。攻擊者也可利用被駭網站,以及接受或加載使用者提供之內容或廣告的網站。這些網站可能含有蓄意製作的內容,以利用這些弱點。不過,在任何案例中,攻擊者無法強迫使用者檢視攻擊者控制的內容。而是引誘使用者自行前往,一般的做法是設法讓使用者點選電子郵件或即時訊息中通往攻擊者網站的連結,或設法讓使用者開啟經由電子郵件傳送的附件。

在網頁式攻擊案例中,當使用者正在 Windows 8 UI 使用 Internet Explorer,攻擊者首先必須駭入已列入相容性檢視 (CV) 清單中的網站。接著攻擊者可以架設一個網站,其中含有蓄意製作的 Flash 內容,專門為透過 Internet Explorer 利用任一弱點而設計,然後引誘使用者瀏覽該網站。攻擊者無法強迫使用者檢視攻擊者控制的內容。而是引誘使用者自行前往,一般的做法是設法讓使用者點選電子郵件或即時訊息中通往攻擊者網站的連結,或設法讓使用者開啟經由電子郵件傳送的附件。如需有關 Internet Explorer 和 CV 清單的詳細資訊,請參閱下列 MSDN 文章:Developer Guidance for websites with content for Adobe Flash Player in Windows 8

緩和因素

緩和防護指的是設定、常見設定或預設狀態下的一般最佳實務,可降低弱點遭利用的嚴重性。下列緩和因素可能有助於您解決問題:

  • 在網頁式攻擊案例中,當使用者正在桌面使用 Internet Explorer,攻擊者可架設一個網站,並在新增為了利用這些弱點而製作的網頁。此外,被駭網站和接受或加載使用者提供之內容或廣告的網站,可能含有蓄意製作的內容,以利用這些弱點。不過,在任何案例中,攻擊者無法強迫使用者造訪這些網站。而是引誘使用者自行前往,一般的做法是設法讓使用者按一下電子郵件或即時訊息中通往攻擊者網站的連結。
  • 在 Windows 8 UI 中的 Internet Explorer,僅會顯示已列入相容性檢視 (CV) 清單中的網站 Flash 內容。這項限制使得攻擊者首先必須駭入已列入 CV 清單中的網站。接著攻擊者可以載入蓄意製作的 Flash 內容,專門為透過 Internet Explorer 利用任一弱點而設計,然後引誘使用者瀏覽該網站。攻擊者無法強迫使用者檢視攻擊者控制的內容。而是引誘使用者自行前往,一般的做法是設法讓使用者點選電子郵件或即時訊息中通往攻擊者網站的連結,或設法讓使用者開啟經由電子郵件傳送的附件。
  • 根據預設,所有支援的 Microsoft Outlook 和 Windows Live Mail 會在「限制的網站」區域中開啟 HTML 郵件。「限制的網站」區域會停用指令碼和 ActiveX 控制項,協助降低攻擊者利用這些弱點執行惡意程式碼的風險。如果使用者點選電子郵件的連結,這些弱點仍然容易遭到利用,而受到網頁式攻擊。
  • 根據預設,Windows Server 2012 和 Windows Server 2012 R2 會以稱為增強式安全性設定的限制模式執行 Internet Explorer。此模式可協助降低在 Internet Explorer 中 Adobe Flash Player 弱點遭到利用的風險。

因應措施

「因應措施」指的是有助於您在套用升級前,先封鎖已知攻擊媒介的設定或組態變更。

  • 防止 Adobe Flash Player 執行

    您可以停用 Adobe Flash Player 的初始化服務,包括在 Internet Explorer 和其他具備刪除位元功能的應用程式,例如 Office 2007 和 Office 2010,可從登錄中為控制設定刪除位元。

    警告如果使用 [登錄編輯程式] 的方式錯誤,可能造成嚴重問題,以致於您必須重新安裝作業系統。Microsoft 無法保證可以解決您不當使用 [登錄編輯程式] 所導致的問題。請自行承擔使用 [登錄編輯程式] 的風險。

    若要在登錄檔中設定控制項的 Kill Bit (刪除位元),請執行下列步驟:

    1. 貼上下列內容到一個文字檔中,並使用 .reg 副檔名儲存。

          Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}] "Compatibility Flags"=dword:00000400
      
    2. 連按兩下.reg 檔案以套用至個別系統。

      您也可以使用「群組原則」,將此因應措施跨網域套用。如需有關「群組原則」的詳細資訊,請參閱 TechNet 文件:群組原則集合

    注意您必須重新啟動 Internet Explorer,才能讓變更產生效用。

    因應措施的影響。只要不在 Internet Explorer 中使用物件,就不會有任何影響。

    如何復原因應措施。 刪除先前實作此因應措施所新增的登錄機碼。

  • 透過群組原則避免在 Internet Explorer 中執行 Adobe Flash Player

    注意群組原則 MMC 嵌入式管理單元可用來設定單一機器、單一組織單位,或是整個網域的原則。如需有關「群組原則」的詳細資訊,請造訪下列 Microsoft 網站:

    群組原則概觀

    什麼是「群組原則物件編輯器」?

    核心群組原則工具及設定

    如果要透過群組原則停用 Internet Explorer 中的 obe Flash Player,請執行下列步驟:

    注意此因應措施並無法避免從其他程式中呼叫 Flash,例如 Microsoft Office 2007 或 Microsoft Office 2010。

    1. 開啟「群組原則管理主控台」,設定要用於適當群組原則物件的主控台,例如本機電腦、組織單位 (OU)、網域群組原則物件 (domain GPO)。
    2. 瀏覽到下列節點: [系統管理範本] > [Windows 元件] > [Internet Explorer] > [安全性功能] > [附加元件管理]
    3. 按兩下關閉 Internet Explorer 中的 Adobe Flash,並且防止應用程式利用 Internet Explorer 技術初始化 Adobe Flash 物件
    4. 將設定變更為啟用
    5. 按一下 [套用],然後按一下 [確定] 返回群組原則管理主控台。
    6. 在所有系統重新整理群組原則,或是等候下次排程群組原則更新的間隔時間,設定才能生效。
  • 防止 Adobe Flash Player 在受影系統中的 Office 2010 執行

    注意此因應措施並不會在 Internet Explorer 中停用 Adobe Flash Player。

    警告如果使用 [登錄編輯程式] 的方式錯誤,可能造成嚴重問題,以致於您必須重新安裝作業系統。Microsoft 無法保證可以解決您不當使用 [登錄編輯程式] 所導致的問題。請自行承擔使用 [登錄編輯程式] 的風險。

    如需避免控制項在 Internet Explorer 中執行的詳細步驟,請參閱 Microsoft 知識庫文件編號 240797。按照文章中的步驟,在登錄中建立 Compatibility Flags 值,以避免在 Internet Explorer 中產生 COM 物件。

    若只要在 Office 2010 中停用 Adobe Flash Player,請在登錄中使用下列步驟設定 Adobe Flash Player 的 ActiveX 控制項 Kill Bit (刪除位元):

    1. 建立名稱為 Disable_Flash.reg 的文字檔,且要包含下列內容:

          Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}] "Compatibility Flags"=dword:00000400
      
    2. 連按兩下.reg 檔案以套用至個別系統。

    3. 注意您必須重新啟動 Internet Explorer,才能讓變更產生效用。

      您也可以使用「群組原則」,將此因應措施套用至各個網域。如需有關「群組原則」的詳細資訊,請參閱 TechNet 文件:群組原則集合

  • 防止 ActiveX 控制項在 Office 2007 和 Office 2010 中執行

    如果要停用 Office 2007 和 Office 2010 中所有的 ActiveX 控制項,包含 Internet Explorer 中的 Adobe Flash Player,請執行下列步驟:

    1. 依序按下 [檔案][選項][信任中心][信任中心設定]
    2. 在左側窗格中按一下 [ActiveX設定],然後選取 [不提示並停用所有控制項]
    3. 按一下 [確定] 以儲存設定。

    因應措施的影響。 有內嵌 ActiveX 控制項的 Office 文件可能無法如預期般顯示。

    如何復原因應措施

    若要重新啟用 Office 2007 和 Office 2010 中的 ActiveX 控制項,請執行下列步驟:

    1. 依序按下 [檔案][選項][信任中心][信任中心設定]
    2. 在左側窗格中按一下 [ActiveX設定],然後選取 [不提示並停用所有控制項]
    3. 按一下 [確定] 以儲存設定。
  • 將網際網路和近端內部網路安全性區域設定為「高」,可封鎖區域內的 ActiveX 控制項和動態指令碼處理。

    您可以改變網際網路安全性區域設定,封鎖 ActiveX 控制項和動態指令碼處理,協助保護這些弱點不被利用。您可以將瀏覽器安全層級設定為「高」以保護弱點。

    如果要調高網際網路安全層級,請執行下列步驟:

    1. 在 Internet Explorer [工具] 功能表上,按一下 [網際網路選項]
    2. [網際網路選項] 對話方塊中,按一下 [安全性] 索引標籤,然後按一下 [網際網路]
    3. [此區域的安全性等級]下方,將滑桿移至 [高]。此設定可以將您造訪的所有網站安全性層級升至「高安全性」。
    4. 按一下[近端內部網路]
    5. [此區域的安全性等級]下方,將滑桿移至 [高]。此設定可以將您造訪的所有網站安全性層級升至「高安全性」。
    6. 按一下 [確定] 接受所有變更並返回 Internet Explorer。

    注意如果沒有顯示滑桿,按一下 [預設層級],再將滑桿移至 [高安全性]

    注意將層級設定為高安全性可能導致網站無法正確運作。如果您變更此設定後,使用網頁遇到問題,且確定此網站可安全使用,您可以將網站新增信任的網站清單。如此一來,即使採用 [高] 設定,該網站仍可正確運作。

    因應措施的影響。 封鎖 ActiveX 控制項和動態指令碼處理會產生副作用。網際網路或是內部網路的許多網站會使用 ActiveX 控制項和動態指令碼,提供額外功能。例如,線上電子商務網站或銀行網站可能會使用 ActiveX 控制項提供功能表、訂單表格、或甚至對帳單功能。封鎖 ActiveX 控制項或動態指令碼為通用設定,會影響所有網際網路或是內部網路網站。如果您不想封鎖上述網站的 ActiveX 控制項或動態指令碼,請執行「將信任網站新增 Internet Explorer 信任的網站區域」中的步驟。

  • 設定網際網路或是內部網路安全性區域內,Internet Explorer 在執行或停用動態指令碼前先提示。

    您可以變更設定網際網路或是內部網路安全性區域內,Internet Explorer 在執行或停用動態指令碼前先提示,協助保護弱點不被利用。如果要執行這項操作,請依照下列步驟執行:

    1. 在 Internet Explorer 中,按一下 [工具] 功能表的 [網際網路選項]
    2. 按一下 [安全性] 索引標籤。
    3. 按一下 [網際網路],然後按 [自訂等級]
    4. [設定][指令碼處理] 區段中,按一下 [Active Scripting] 下的 [提示][停用],然後按一下 [確定]
    5. 按一下 [近端內部網路],然後按 [自訂層級]
    6. [設定][指令碼處理] 區段中,按一下 [Active Scripting] 下的 [提示][停用],然後按一下 [確定]
    7. 按一下 [確定] 回到 Internet Explorer,然後再按一下 [確定] 一次。

    注意在網際網路和近端內部網路安全性區域中停用動態指令碼,可能會導致部分網站無法正確運作。如果您變更此設定後,在使用網站時遭遇問題,且確定此網站可安全使用,您可以將網站新增至信任的網站清單。使網站正確運作。

    因應措施的影響。 執行動態指令碼前先提示的設定會產生副作用。網際網路或是內部網路的許多網站皆有使用動態指令碼,以提供額外功能。例如,線上電子商務網站或銀行網站可能會使用 動態指令碼提供功能表、訂單表格、或甚至對帳單功能。執行動態指令碼前提示為通用設定,會影響所有網際網路或是內部網路網站。當您啟用這項因應措施,將會時常收到提示。每次出現提示時,如果您覺得可以信任該網站,請按 [是] 執行動態指令碼。如果您不要收到這些網站的提示,請改用「將信任的網站加入 Internet Explorer [信任的網站] 區域」的步驟。

  • 將信任的網站加入 Internet Explorer [信任的網站] 區域

    當您完成設定,使 Internet Explorer 在網際網路區域及近端內部網路區域執行 ActiveX 控制項及動態指令碼處理前會顯示提示之後,即可將信任的網站加入 Internet Explorer [信任的網站] 區域。之後您就可以依照平時習慣使用信任的網站,同時預防不信任網站的這類攻擊。我們建議您只將信任的網站加入 [信任的網站] 區域。

    若要執行這項操作,請依照下列步驟:

    1. 在 Internet Explorer 中,依序按一下 [工具][網際網路選項],然後按一下 [安全性] 索引標籤。
    2. [請選擇網頁內容區域來指定它的資訊安全設定] 方塊中,按一下 [信任的網站],然後按一下 [網站]
    3. 如果您要加入的網站不需要加密通道,請按一下滑鼠清除 [此區域內的所有網站需要伺服器驗證 (https:)] 核取方塊。
    4. [將這個網站新增到區域] 方塊中,鍵入信任網站的 URL,然後按一下 [新增]
    5. 為每一個要加入此區域的網站重複以上步驟。
    6. 按兩次 [確定] 接受所有變更並返回 Internet Explorer。

    注意您可以加入任何您相信不會對系統採取惡意行動的網站。您可能會想要加入 *.windowsupdate.microsoft.com*.update.microsoft.com 這兩個網站。這些網站提供各項更新,並需要 ActiveX 控制項才能安裝更新。

安全性更新部署

如需安全性更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。

致謝

Microsoft 了解資訊安全業界所做的努力,其盡責地揭露弱點來協助我們保護客戶。請參閱致謝以取得詳細資訊。

免責聲明

Microsoft 知識庫中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

  • V1.0 (2016 年 10 月 11 日):公告發行。

頁面產生時間:2016/10/4 下午 01:13-07:00。