MS16-039 Microsoft 图形组件安全更新程序

发布日期：2016 年 4 月 12 日 | 更新时间：2016 年 4 月 19 日

版本： 2.0

执行摘要

此安全更新程序修复了 Microsoft Windows、Microsoft .NET Framework、Microsoft Office、Skype for Business 和 Microsoft Lync 中的多个漏洞。如果用户打开经特殊设计的文档或访问包含经特殊设计的嵌入字体的网页，那么其中最严重的漏洞可能允许远程执行代码。

对于以下版本，此安全更新程序的等级为“严重”：

所有受支持的 Microsoft Windows 版本所有受支持的 Microsoft Windows 版本上受影响的 Microsoft .NET Framework 版本受影响的 Skype for Business 2016、Microsoft Lync 2013 和 Microsoft Lync 2010 版本 更新程序 FAQ

此更新程序是否包含其他任何与安全相关的功能更改？
除了针对本公告中所述漏洞列出的更改之外，此更新程序还包括纵深防御更新程序，可帮助改进与安全相关的功能。

我运行的是 Office 2010。此软件被列为受影响的软件。为什么没有向我提供此更新程序？ 
此更新程序不适用于 Windows Vista 和 Windows 更高版本上的 Office 2010，因为不存在易受攻击的代码。

我使用的是未在“受影响的软件和漏洞严重等级”表中作为受影响的软件特别列出的软件，但却向我提供此更新程序。为什么要向我提供此更新程序？  
当更新程序修复在多个 Microsoft Office 产品之间共享或者在相同 Microsoft Office 产品的多个版本之间共享的一个组件中存在的易受攻击的代码时，此更新程序被视为适用于包含易受攻击的组件的所有受支持产品和版本。

例如，当某更新程序适用于 Microsoft Office 2007 产品时，“受影响的软件”表中可能只会特别列出 Microsoft Office 2007。不过，此更新程序可能适用于 Microsoft Word 2007、Microsoft Excel 2007、Microsoft Visio 2007、Microsoft 兼容包、Microsoft Excel Viewer 或其他任何并未在“受影响的软件”表中特别列出的 Microsoft Office 2007 产品。此外，当某更新程序适用于 Microsoft Office 2010 产品时，“受影响的软件”表中可能只会特别列出 Microsoft Office 2010。不过，此更新程序可能适用于 Microsoft Word 2010、Microsoft Excel 2010、Microsoft Visio 2010、Microsoft Visio Viewer 或其他任何并未在“受影响的软件”表中特别列出的 Microsoft Office 2010 产品。

有关此行为和建议操作的详细信息，请参阅 Microsoft 知识库文章 830335。有关更新程序可能适用的 Microsoft Office 产品列表，请参阅与特定更新程序相关的 Microsoft 知识库文章。

此公告提供了受影响的 Microsoft Lync 2013 (Skype for Business) 版本的更新程序。是否存在任何先决条件？
有。运行受影响的 Microsoft Lync 2013 (Skype for Business) 版本的客户必须先安装 2015 年 4 月发布的 Office 2013 更新程序 2965218，以及 2015 年 5 月发布的安全更新程序 3039779。有关这两个先决条件更新程序的详细信息，请参阅：

https://support.microsoft.com/zh-cn/kb/2965218 知识库文章 3039779

是否有客户应连同 Microsoft Live Meeting Console 安全更新程序一起安装的其他任何与安全无关的更新程序？ 
是。除了发布适用于 Microsoft Live Meeting Console 的安全更新程序之外，Microsoft 还发布了以下与安全无关的更新程序，适用于 Outlook 的 OCS 会议外接程序。在适用的情况下，Microsoft 建议客户安装这些更新程序，以便不断更新系统：

Outlook（32 位）的 OCS 会议外接程序 (3144431) Outlook（64 位）的 OCS 会议外接程序 (3144431)

有关详细信息，请参阅 Microsoft 知识库文章 3144431。

为什么只能从 Microsoft 下载中心获取 Lync 2010 Attendee（用户级安装）更新程序？ 
Microsoft 只在 Microsoft 下载中心内发布 Lync 2010 Attendee（用户级安装）更新程序。由于 Lync 2010 Attendee 的用户级安装是通过 Lync 会话处理，因此自动更新等分发方法不适合于这种类型的安装情形。

漏洞信息 多个 Win32k 特权提升漏洞

如果 Windows 内核模式驱动程序无法正确处理内存中的对象，则会存在特权提升漏洞。成功利用这些漏洞的攻击者可以在内核模式下运行任意代码¡£攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

攻击者必须先登录系统，然后才能利用这些漏洞。然后攻击者可以运行一个为利用这些漏洞而经特殊设计的应用程序，从而控制受影响的系统。该更新通过更正 Windows 内核模式驱动程序处理内存中对象的方式来解决这些漏洞。