政府电脑保安事故协调中心 - 保安警报(A16-01-02): Microsoft产品多个漏洞(2016年1月)

描述:

Microsoft发布了以下9个安全性公告，以应对多个影响个别 Microsoft 产品或组件的漏洞:

MS16-001    Internet Explorer 累积安全性更新
MS16-002    Microsoft Edge 的累积安全性更新
MS16-003    用来解决远程执行程序代码的 JScript 和 VBScript 累积安全性更新
MS16-004    用来解决远程执行程序代码的 Microsoft Office 安全性更新
MS16-005    用来解决远程执行程序代码问题的 Windows 内核模式驱动程序安全性更新
MS16-006    用来解决远程执行程序代码的 Silverlight 安全性更新
MS16-007    用来解决远程执行程序代码的 Microsoft Windows 安全性更新
MS16-008    用来解决特权提升的 Windows 核心安全性更新
MS16-010    解决诈骗的 Microsoft Exchange Server 安全性更新

受影响的系统:

> Microsoft Edge
> Microsoft Exchange Server 2013, 2016
> Microsoft Internet Explorer 7, 8, 9, 10, 11
> Microsoft Office 2007, 2010, 2013, 2013 RT, 2016, Office for Mac 2011, 2016
> Microsoft Office Compatibility Pack Service Pack, Excel, Word Viewer
> Microsoft SharePoint Server 2013, SharePoint Foundation 2013
> Microsoft Silverlight 5, Silverlight 5 Developer Runtime
> Microsoft Visual Basic 6.0 Runtime
> Microsoft Windows Server 2008, 2008 R2, 2012, 2012 R2
> Microsoft Windows Vista, 7, 8, 8.1, RT, RT 8.1, 10

有关受影响产品的完整列表，请参阅Microsoft安全性公告摘要中的「受影响的软体」部分：

https://technet.microsoft.com/library/security/ms16-jan

影响:

成功利用这些漏洞可以诈骗、执行程序代码或提高权限，视乎攻击者利用哪个漏洞而定。

建议:

受影响产品的修补程序可在 Microsoft Update 网站获取。受影响系统的用户应遵从产品供货商的建议，立即采取行动以降低风险。

> Microsoft Update
http://update.microsoft.com/microsoftupdate

Internet Explorer生命周期升级的通知

于2016年1月12日发布的Internet Explorer（IE）累积安全性更新将新增一个新的“生命周期”升级通知功能。此功能会通知IE8、IE9和IE10的用户在Windows7 SP1和Windows Server2008 R2中的IE已终止支援。当使用已终止支持的IE时，通知网页将显示在一个额外的网页标签中。用户可自行设定登录索引值 (registry key)停用此功能。欲了解更多详细资料，请参阅以下网址:

https://support.microsoft.com/en-us/kb/3123303

进一步信息:

https://technet.microsoft.com/en-us/library/security/ms16-jan
https://technet.microsoft.com/library/security/MS16-001
https://technet.microsoft.com/library/security/MS16-002
https://technet.microsoft.com/library/security/MS16-003
https://technet.microsoft.com/library/security/MS16-004
https://technet.microsoft.com/library/security/MS16-005
https://technet.microsoft.com/library/security/MS16-006
https://technet.microsoft.com/library/security/MS16-007
https://technet.microsoft.com/library/security/MS16-008
https://technet.microsoft.com/library/security/MS16-010
https://blogs.msdn.microsoft.com/ie/2014/08/07/stay-up-to-date-with-internet-explorer/
https://www.hkcert.org/my_url/zh/alert/16011301 (至16011309)
https://www.us-cert.gov/ncas/current-activity/2016/01/12/Microsoft-Releases-January-2016-Security-Bulletin
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6117
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0002 (至CVE-2016-0003)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0005 (至CVE-2016-0012)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0014 (至CVE-2016-0016)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0018 (至CVE-2016-0020)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0029 (至CVE-2016-0032)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0034 (至CVE-2016-0035)

标签 : Edge , Internet Explorer , SharePoint , Windows , Microsoft , Exchange Server , Microsoft Office , Silverlight , Visual Basic , Windows Servers