Microsoft 資訊安全公告 MS17-016 - 重要
Windows IIS 的安全性更新 (4013074)
發行日期:2017 年 3 月 14 日
版本: 1.0
提要
此安全性更新可解決 Microsoft IIS Server 中的弱點。如果使用者按一下由受影響的 Microsoft IIS Server 所裝載、蓄意製作的 URL,弱點可能會允許權限提高。成功利用此弱點的攻擊者可能會在使用者的瀏覽器中執行指令碼,以從 Web 工作階段取得資訊。
對於所有受支援版本的 Microsoft Windows,此安全性更新的等級為「重要」。
此安全性更新會修改 Microsoft IIS Server 處理 Web 要求的方式,藉此解決弱點。
如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章 4013074。
受影響的軟體和弱點嚴重性等級
下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要了解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站。
針對每個受影響的軟體所指出的嚴重性等級假設弱點可能產生最大影響。在本資訊安全公告發行的 30 天內,如需弱點之易遭利用性與嚴重性等級和資訊安全影響之間對應關係的資訊,請參閱 3 月份公告摘要中的<弱點入侵指數>。
**作業系統** | [**Microsoft IIS Server XSS 權限提高弱點 - CVE-2017-0055**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-0055) | 取代的更新\* |
**Windows Vista** | ||
[Windows Vista Service Pack 2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012373) (4012373) | **重要** 權限提高 | 無 |
[Windows Vista x64 Edition Service Pack 2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012373) (4012373) | **重要** 權限提高 | 無 |
**Windows 7** | ||
[32 位元系統的 Windows 7 Service Pack 1](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012212) (4012212) 僅限安全性[1] | **重要** 權限提高 | 無 |
[適用於 32 位元系統的 Windows 7 Service Pack 1](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012215) (4012215) 每月彙總套件[1] | **重要** 權限提高 | [3212646](https://support.microsoft.com/zh-tw/kb/3212646) |
[適用於 x64 型系統的 Windows 7 Service Pack 1](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012212) (4012212) 僅限安全性[1] | **重要** 權限提高 | 無 |
[適用於 x64 型系統的 Windows 7 Service Pack 1](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012215) (4012215) 每月彙總套件[1] | **重要** 權限提高 | [3212646](https://support.microsoft.com/zh-tw/kb/3212646) |
**Windows Server 2008** | ||
[適用於 32 位元系統的 Windows Server 2008 Service Pack 2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012373) (4012373) | **重要** 權限提高 | 無 |
[適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012373) (4012373) | **重要** 權限提高 | 無 |
[適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012373) (4012373) | **重要** 權限提高 | 無 |
**Windows Server 2008 R2** | ||
[適用於 32 位元系統的 Windows Server 2008 Service Pack 2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012373) (4012373) | **重要** 權限提高 | 無 |
[適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012373) (4012373) | **重要** 權限提高 | [3212646](https://support.microsoft.com/zh-tw/kb/3212646) |
[適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012373) (4012373) | **重要** 權限提高 | 無 |
[適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012373) (4012373) | **重要** 權限提高 | [3212646](https://support.microsoft.com/zh-tw/kb/3212646) |
**Windows 8.1** | ||
[適用於 32 位元系統的 Windows 8.1](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012213) (4012213) 僅限安全性[1] | **重要** 權限提高 | 無 |
[適用於 32 位元系統的 Windows 8.1](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012216) (4012216) 每月彙總套件[1] | **重要** 權限提高 | [3205401](https://support.microsoft.com/zh-tw/kb/3205401) |
[適用於 x64 型系統的 Windows 8.1](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012213) (4012213) 僅限安全性[1] | **重要** 權限提高 | 無 |
[適用於 x64 型系統的 Windows 8.1](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012216) (4012216) 每月彙總套件[1] | **重要** 權限提高 | [3205401](https://support.microsoft.com/zh-tw/kb/3205401) |
**Windows Server 2012 和 Windows Server 2012 R2** | ||
[Windows Server 2012](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012214) (4012214) 僅限安全性[1] | **重要** 權限提高 | 無 |
[Windows Server 2012](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012217) (4012217) 每月彙總套件[1] | **重要** 權限提高 | [3205409](https://support.microsoft.com/zh-tw/kb/3205409) |
[Windows Server 2012 R2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012213) (4012213) 僅限安全性[1] | **重要** 權限提高 | 無 |
[Windows Server 2012 R2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012216) (4012216) 每月彙總套件[1] | **重要** 權限提高 | [3205401](https://support.microsoft.com/zh-tw/kb/3205401) |
**Windows RT 8.1** | ||
Windows RT 8.1[2] (4012216) 每月彙總套件 | **重要** 權限提高 | [3205401](https://support.microsoft.com/zh-tw/kb/3205401) |
**Windows 10** | ||
[適用於 32 位元系統的 Windows 10](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012606)[3] (4012606) | **重要** 權限提高 | [3210720](https://support.microsoft.com/zh-tw/kb/3210720) |
[適用於 x64 型系統的 Windows 10](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012606)[3] (4012606) | **重要** 權限提高 | [3210720](https://support.microsoft.com/zh-tw/kb/3210720) |
[適用於 32 位元系統的 Windows 10 1511 版](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013198)[3] (4013198) | **重要** 權限提高 | [3210721](https://support.microsoft.com/zh-tw/kb/3210721) |
[適用於 x64 型系統的 Windows 10 1511 版](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013198)[3] (4013198) | **重要** 權限提高 | [3210721](https://support.microsoft.com/zh-tw/kb/3210721) |
[適用於 32 位元系統的 Windows 10 1607 版](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013429)[3] (4013429) | **重要** 權限提高 | [3213986](https://support.microsoft.com/zh-tw/kb/3213986) |
[適用於 x64 型系統的 Windows 10 1607 版](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013429)[3] (4013429) | **重要** 權限提高 | [3213986](https://support.microsoft.com/zh-tw/kb/3213986) |
**Windows Server 2016** | ||
[適用於 x64 型系統的 Windows Server 2016](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013429)[3] (4013429) | **重要** 權限提高 | [3213986](https://support.microsoft.com/zh-tw/kb/3213986) |
**Server Core 安裝選項** | ||
[適用於 32 位元系統的 Windows Server 2008 Service Pack 2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012373) (Server Core 安裝) (4012373) | **重要** 權限提高 | 無 |
[適用於 x64 型系統的 Windows Server 2008 Service Pack 2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012373) (Server Core 安裝) (4012373) | **重要** 權限提高 | 無 |
[x64 型系統的 Windows Server 2008 R2 Service Pack 1](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012212) (Server Core 安裝) (4012212) 僅限安全性[1] | **重要** 權限提高 | 無 |
[x64 型系統的 Windows Server 2008 R2 Service Pack 1](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012215) (Server Core 安裝) (4012215) 每月彙總套件[1] | **重要** 權限提高 | [3212646](https://support.microsoft.com/zh-tw/kb/3212646) |
[Windows Server 2012](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012214) (Server Core 安裝) (4012214) 僅限安全性[1] | **重要** 權限提高 | 無 |
[Windows Server 2012](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012217) (Server Core 安裝) (4012217) 每月彙總套件[1] | **重要** 權限提高 | [3205409](https://support.microsoft.com/zh-tw/kb/3205409) |
[Windows Server 2012 R2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012213) (Server Core 安裝) (4012213) 僅限安全性[1] | **重要** 權限提高 | 無 |
[Windows Server 2012 R2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012216) (Server Core 安裝) (4012216) 每月彙總套件[1] | **重要** 權限提高 | [3205401](https://support.microsoft.com/zh-tw/kb/3205401) |
[適用於 x64 型系統的 Windows Server 2016 Service Pack 3](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013429)(Server Core 安裝) (4013429) | **重要** 權限提高 | [3213986](https://support.microsoft.com/zh-tw/kb/3213986) |
[2] 此更新僅透過 Windows Update 提供。
[3] Windows 10 和 Windows Server 2016 更新是累積性的。每月安全性發行包含所有影響 Windows 10 的弱點安全性修正程式,以及非安全性更新。更新透過 Microsoft Update Catalog 提供。請注意,自 2016 年 12 月 13 日起,Windows 10 和 Windows Server 2016 的累積更新詳細資料將記錄在版本資訊中。
*[取代的更新] 欄位僅顯示所有已取代更新鏈結中的最新更新。如需完整的已取代更新清單,請前往 Microsoft Update Catalog,搜尋更新知識庫文章編號,然後檢視更新詳細資料 (取代的更新資訊位於 [Package Details] 索引標籤)。
弱點資訊
Microsoft IIS Server XSS 權限提高弱點 - CVE-2017-0055
當 Microsoft IIS Server 無法正確處理蓄意製作的要求時,即存在權限提高弱點。一旦攻擊者成功地利用了此弱點,就可以在受影響的系統上執行跨網站指令碼攻擊,並在目前使用者的安全性內容中執行指令碼。攻擊者接著可利用這些攻擊來讀取該攻擊者無權讀取的內容、冒充受害者的身分執行動作,以及將惡意內容插入受害者的瀏覽器。
使用者必須按一下蓄意製作的 URL,攻擊者才能利用此弱點。
在電子郵件攻擊案例中,攻擊者可能會將包含蓄意製作之 URL 的電子郵件訊息傳送給使用者,並引誘使用者點選蓄意製作的 URL,以利用這項弱點。
在網頁式攻擊案例中,攻擊者必須架設含有蓄意製作之 URL 的網站。此外,受侵害的網站以及接受或存放使用者提供之內容的網站裡,也可能包含蓄意製作以利用本資訊安全風險的內容。攻擊者並不能強迫使用者造訪蓄意製作的網站,而是必須說服使用者自行前往。一般的做法是設法讓使用者點選即時訊息或電子郵件中的連結,經由蓄意製作的 URL 引導使用者前往受影響的網站。
此安全性更新會更正 Microsoft IIS Server 處理 Web 要求的方式,藉此解決弱點。
下表包含一般弱點及安全風險清單中,此弱點的標準項目連結:
弱點標題 | CVE 編號 | 已公開揭露 | 是否遭到利用 |
Microsoft IIS Server XSS 權限提高弱點 | CVE-2017-0055 | 否 | 否 |