发布日期:2016 年 5 月 10 日
版本: 1.0
执行摘要此安全更新程序修复了 Microsoft Edge 中的多个漏洞。如果用户使用 Microsoft Edge 查看经特殊设计的网页,那么其中最严重的漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与当前用户相同的用户权限。与拥有管理用户权限的客户相比,帐户被配置为拥有较少系统用户权限的客户受到的影响更小。
对于 Windows 10 上的 Microsoft Edge,此安全更新程序的等级为“严重”。有关详细信息,请参阅受影响的软件部分。
此更新通过修改 Microsoft Edge 处理内存中对象的方式来修复这些漏洞。有关这些漏洞的详细信息,请参阅漏洞信息部分。
漏洞信息 Microsoft Edge 内存损坏漏洞 – CVE-2016-0192当 Microsoft Edge 不正确地访问内存中的对象时,存在远程执行代码漏洞。该漏洞可能以一种使攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
攻击者可能拥有一个旨在通过 Microsoft Edge 利用此漏洞的经特殊设计的网站,然后诱使用户查看该网站。攻击者还可能会利用被入侵的网站以及接受或托管用户提供的内容或广告的网站,添加可利用此漏洞的经特殊设计的内容。不过,在任何情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者需要诱使用户执行操作,方法通常是通过电子邮件或即时消息进行诱骗,或者诱使用户打开通过电子邮件发送的附件。此更新程序通过修改 Microsoft Edge 处理内存对象的方式来修复这个漏洞。