发布日期:2016 年 5 月 10 日
版本: 1.0
执行摘要此安全更新程序修复了 Internet Explorer 中的多个漏洞。如果用户使用 Internet Explorer 查看经特殊设计的网页,那么其中最严重的漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
对于受影响的 Windows 客户端上的 Internet Explorer 9 (IE 9) 和 Internet Explorer 11 (IE 11),此安全更新程序的等级为“严重”;对于受影响的 Windows 服务器上的 Internet Explorer 9 (IE 9)、Internet Explorer 10 (IE 10) 和 Internet Explorer 11 (IE 11),此安全更新程序的等级为“中等”。有关详细信息,请参阅受影响的软件部分。此更新通过修改 JScript 和 VBScript 脚本引擎处理内存中对象的方式来修复这些漏洞。有关这些漏洞的详细信息,请参阅漏洞信息部分。
更新程序 FAQ 此更新程序是否包含其他任何与安全相关的功能更改?
除了针对本公告中所述漏洞列出的更改之外,此更新程序还包括纵深防御更新程序,可帮助改进与安全相关的功能。
对于我的特定系统和 Internet Explorer 配置,哪个更新可以解决 CVE-2016-0187 和 CVE-2016-0189 中描述的漏洞?
CVE-2016-0187 和 CVE-2016-0189 是 JScript 和 VBScript 引擎中的漏洞。尽管攻击途径是 Internet Explorer,但对于运行 Internet Explorer 9、Internet Explorer 10 和 Internet Explorer 11 的系统,可通过此公告 (MS16-051) 中发布的更新来修复这些漏洞。对于 Internet Explorer 7 及早期版本,这些漏洞通过 MS16-053 中介绍的更新进行修复。
在 Internet Explorer 中处理内存中的对象时,JScript 和 VBScript 引擎的呈现方式存在多个远程执行代码漏洞。这些漏洞可能会损坏内存,具体是通过攻击者在当前用户的上下文中执行任意代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用这些漏洞的攻击者可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
在基于 Web 的攻击情形中,攻击者可能拥有一个旨在通过 Internet Explorer 利用漏洞的经特殊设计的网站,然后诱使用户查看该网站。攻击者也可能在宿主 IE 呈现引擎的应用程序或 Microsoft Office 文档中嵌入标有“安全初始化”的 ActiveX 控件。攻击者还可能利用受到破坏的网站以及接受或宿主用户提供的内容或广告的网站。这些网站可能包含可以利用漏洞的经特殊设计的内容。此更新通过修改 JScript 和 VBScript 脚本引擎处理内存中对象的方式来修复这些漏洞。