发布日期:2016 年 5 月 10 日 | 更新时间:2016 年 5 月 13 日
版本: 2.0
执行摘要此安全更新可修复安装在所有受支持版本的 Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8.1 以及 Windows 10 上的 Adobe Flash Player 漏洞。
此安全更新程序的等级为“严重”。通过更新包含在 Internet Explorer 10 和 Internet Explorer 11 中的受影响的 Adobe Flash 库,此更新修复了 Adobe Flash Player 中的漏洞。有关详细信息,请参阅受影响的软件部分。
常见问题 攻击者能如何利用这些漏洞?
在用户为台式机使用 Internet Explorer 的基于 Web 的攻击情形中,攻击者可能拥有一个旨在通过 Internet Explorer 利用其中任何漏洞的经特殊设计的网站,然后诱使用户查看该网站。攻击者也可能在宿主 IE 呈现引擎的应用程序或 Microsoft Office 文档中嵌入标有“安全初始化”的 ActiveX 控件。攻击者还可能利用受到破坏的网站以及接受或宿主用户提供的内容或广告的网站。这些网站可能包含可以利用其中任何漏洞的经特殊设计的内容。不过,在任何情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者必须诱使用户采取行动,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站,或者让用户打开通过电子邮件发送的附件。
在用户在 Windows 8 风格 UI 中使用 Internet Explorer 的基于 Web 的攻击情形中,攻击者首先需要破坏兼容性视图 (CV) 列表上已经列出的某个网站。然后,攻击者可能拥有包含旨在通过 Internet Explorer 利用其中任何漏洞的特殊设计的 Flash 内容的网站,然后诱使用户查看该网站。攻击者无法强制用户查看由攻击者控制的内容。相反,攻击者必须诱使用户采取行动,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站,或者让用户打开通过电子邮件发送的附件。有关 Internet Explorer 和 CV 列表的详细信息,请参阅 MSDN 文章 包含适用于 Windows 8 的 Adobe Flash Player 内容的网站的开发人员指南。
缓解因素缓解是指一种设置、通用配置或者一般的最佳实践,它以默认状态存在,能够降低利用漏洞的严重性。以下缓解因素在您遇到的情形中可能会有所帮助:
在用户为台式机使用 Internet Explorer 的基于 Web 的攻击情形中,攻击者可能拥有包含用于利用其中任何漏洞的网页的网站。另外,受到破坏的网站以及接受或宿主用户提供的内容或广告的网站,可能包含可能利用其中任何漏洞的经特殊设计的内容。不过,在所有情况下,攻击者都无法强迫用户访问此类网站。相反,攻击者必须诱使用户访问该网站,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。 Windows 8 风格 UI 中的 Internet Explorer 仅播放兼容性视图 (CV) 列表上列出的网站中的 Flash 内容。此限制要求攻击者首先破坏 CV 列表中已经列出的某个网站。然后,攻击者可能拥有旨在通过 Internet Explorer 利用其中任何漏洞的特殊设计的 Flash 内容,然后诱使用户查看该网站。攻击者无法强制用户查看由攻击者控制的内容。相反,攻击者必须诱使用户采取行动,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站,或者让用户打开通过电子邮件发送的附件。默认情况下,Microsoft Outlook 和 Windows Live Mail 的所有受支持版本在“受限制的站点”区域中打开 HTML 电子邮件。“受限制的站点”区域(禁用脚本和 ActiveX 控件)可帮助降低攻击者使用其中任何漏洞执行恶意代码的风险。在基于 Web 的攻击情形中,如果用户单击电子邮件中的链接,他们可能仍然容易受到利用其中任何漏洞的影响。默认情况下,Windows Server 2012 和 Windows Server 2012 R2 上的 Internet Explorer 在一种称为“增强安全配置”的受限模式下运行。此模式可帮助降低 Internet Explorer 中的这些 Adobe Flash Player 漏洞被利用的可能性。