此安全更新程序修复了 Microsoft Windows 中的一个漏洞。 如果攻击者发动中间人 (MiTM) 攻击,此漏洞可能允许特权提升。 然后,攻击者可以强制 RPC 通道的身份验证级别降级,并模拟经身份验证的用户。
对于 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1 和 Windows 10 的所有受支持版本,此安全更新程序的等级为“重要”。
该安全更新程序通过修改 SAM 和 LSAD 远程协议处理身份验证级别的方式来解决漏洞。
More
此安全更新程序修复了 Microsoft Windows 中的一个漏洞。 成功利用此漏洞的攻击者能够以管理员身份运行任意代码。
对于 Windows 10 的所有受支持版本,此安全更新程序的等级为“重要”。
此安全更新程序通过更正 Windows 辅助登录服务处理内存中请求的方式来解决漏洞。
有关此更新程序的详细信息,请参阅 Microsoft 知识库文章 3148538。
More
此安全更新程序修复了 Microsoft Windows 中的多个漏洞。 如果来宾操作系统上的经身份验证的攻击者运行经特殊设计的应用程序,这些应用程序可导致 Hyper-V 主机操作系统执行任意代码,则其中最严重的漏洞可能允许远程执行代码。 尚未启用 Hyper-V 角色的客户不会受到影响。
对于 Windows 8.1(用于基于 x64 的系统)、Windows Server 2012、Windows Server 2012 R2 和 Windows 10(用于基于 x64 的系统)的所有受支持的版本,此安全更新程序的等级为“重要”。
此安全更新程序通过更正 Hyper-V 验证来宾操作系统用户输入的方式来解决这些漏洞。
More
此安全更新程序修复了 Microsoft Windows 中的一个漏洞。 当 Windows OLE 无法正确验证用户输入时,此漏洞可能允许远程执行代码。 攻击者可以利用此漏洞以执行恶意代码。 但是,攻击者必须首先诱使用户在网页或电子邮件中打开经特殊设计的文件或程序。
对于 Microsoft Windows 的所有受支持版本(Windows 10 除外),此安全更新程序的等级为“重要”。
此安全更新程序通过更正 Windows OLE 验证用户输入的方式来修复此漏洞。
More
此安全更新程序修复了 Microsoft Office 中的多个漏洞。 如果用户打开经特殊设计的 Microsoft Office 文件,那么这些漏洞中最严重的漏洞可能允许远程执行代码。 成功利用这些漏洞的攻击者可以在当前用户的上下文中运行任意代码。 与拥有管理用户权限的客户相比,帐户被配置为拥有较少系统用户权限的客户受到的影响更小。
此安全更新程序通过更正 Office 处理内存中对象的方式来修复这些漏洞。
有关此更新程序的详细信息,请参阅 Microsoft 知识库文章 3148775。
More
此安全更新可解决 Microsoft .NET Framework 中的一个漏洞。如果具有本地系统访问权限的攻击者执行恶意应用程序,则该漏洞可能允许远程执行代码。
对于受影响版本的 Microsoft Windows 上的 Microsoft .NET Framework 4.6 和 Microsoft .NET Framework 4.6.1,此安全更新的等级为“重要”。
此安全更新通过更正 .NET 在库加载时验证输入的方式来修复该漏洞。
More
此安全更新程序修复了 Microsoft Windows 中的一个漏洞。 如果用户单击允许攻击者远程运行恶意代码控制用户系统的经特殊设计的链接,则该漏洞可能允许远程执行代码。 不过,在所有情况下,攻击者无法强制用户单击经特殊设计的链接。 攻击者必须诱使用户单击此链接,通常方式为通过电子邮件或 Instant Messenger 消息进行诱骗。
对于 Microsoft Windows 的所有受支持版本,Microsoft XML Core Services 3.0 的安全更新程序的等级为“严重”。
此更新通过更正 MSXML 分析器处理用户输入的方式来解决漏洞。
More
此安全更新程序修复了 Microsoft Windows、Microsoft .NET Framework、Microsoft Office、Skype for Business 和 Microsoft Lync 中的多个漏洞。 如果用户打开经特殊设计的文档或访问包含经特殊设计的嵌入字体的网页,那么其中最严重的漏洞可能允许远程执行代码。
对于以下版本,此安全更新程序的等级为“严重”:
所有受支持的 Microsoft Windows 版本
所有受支持的 Microsoft Windows 版本上受影响的 Microsoft .NET Framework 版本
受影响的 Skype for Business 2016、Microsoft Lync 2013 和 Microsoft Lync 2010 版本
对于 Microsoft Office 2007 和 Microsoft Office 2010 的所有受影响的版本,此安全更新程序的等级为“重要”。
More
此安全更新程序修复了 Microsoft Edge 中的多个漏洞。 如果用户使用 Microsoft Edge 查看经特殊设计的网页,那么其中最严重的漏洞可能允许远程执行代码。 成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
对于 Windows 10 上的 Microsoft Edge,此安全更新程序的等级为“严重”。
此更新修复漏洞的方式如下:
修改 Microsoft Edge 处理内存对象的方式。
确保在 Microsoft Edge 中正确实施跨域策略。
More
此安全更新程序修复了 Internet Explorer 中的多个漏洞。 如果用户使用 Internet Explorer 查看经特殊设计的网页,那么其中最严重的漏洞可能允许远程执行代码。 成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。 如果当前用户使用管理用户权限登录,那么攻击者便可完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
对于受影响的 Windows 客户端上的 Internet Explorer 9 (IE 9) 和 Internet Explorer 11 (IE 11),此安全更新程序的等级为“严重”;对于受影响的 Windows 服务器上的 Internet Explorer 9 (IE 9)、Internet Explorer 10 (IE 10) 和 Internet Explorer 11 (IE 11),此安全更新程序的等级为“中等”。
More