20160113,微軟1月13日釋出9個安全補丁
大家好,我們是微軟大中華區安全支援團隊。
微軟於北京時間2016年1月13日釋出了9個新的安全公告,其中6個為嚴重等級,3個為重要等級,修復了Microsoft Windows、Microsoft Office、Microsoft Exchange、Microsoft Silverlight、Internet Explorer和Microsoft Edge軟體中的漏洞。其中MS16-001、MS16-004、MS16-005和MS16-007中所修復的漏洞已經公開披露,MS16-006和MS16-008中所修復的漏洞已發現被利用。
與此同時,重新發布了三個安全公告:
安全通報 3109853 |用於提高 TLS 會話恢復互操作性的更新
該更新可以提高基於 Schannel 的 TLS 客戶端和第三方 TLS 伺服器之間的互操作性,第三方 TLS 伺服器須啟用基於 RFC5077 的恢復並且以縮略的 TLS 握手形式傳送 NewSessionTicket 訊息。此更新解決了 schannel.dll 中的一個問題,該問題可能導致基於 RFC5077 會話票證的恢復失敗並隨後引起基於 WinInet 的客戶端(例如,Internet Explorer 和 Microsoft Edge)對更低 TLS 協議版本(而不是應協商的協議版本)執行回退。
安全通報3118753 | ActiveX Kill Bit 更新
Microsoft 隨此通報釋出了一套新的 ActiveX kill bit。這些 ActiveX kill bit 包含在 2016 年 1 月 12 日釋出的 Internet Explorer 累積更新中。此更新為下列第三方軟體設定 kill bit:
• IBM Endpoint Manager for Remote Control(9.0.1 版本和更高版本)和 IBM Assist On-site(4.0.0 版本)。以下與 IBM 請求有關的類識別符會為易受攻擊的 ActiveX 控制元件設定一個 kill bit。此 ActiveX 控制元件的類識別符號 (CLSID) 為:{D4C0DB38-B682-42A8-AF62-DB9247543354}
安全通報3123479 | Microsoft 根證書計劃棄用 SHA-1 雜湊演算法
Microsoft 已釋出 SHA-1 程式碼簽名棄用變更(自 2016 年 1 月 1 日起生效),此次變更重點關注的客戶端活動只有當客戶從 Internet 上下載檔案時才會發生。此變更特定於新的 Windows 預設設定,客戶可以在其環境中覆蓋或增加此預設設定。
補丁列表如下:
公告 ID |
公告標題和執行摘要 |
最高嚴重等級 |
重啟要求 |
受影響的軟體 |
Internet Explorer 的累積安全更新 (3124903) |
嚴重 |
需要重啟 |
Microsoft Windows、Internet Explorer |
|
Microsoft Edge 的累積安全更新 (3124904) |
嚴重 |
需要重啟 |
Microsoft Windows、Microsoft Edge |
|
用於修復遠端執行程式碼漏洞的 JScript 和 VBScript 累積安全更新 (3125540) |
嚴重 |
可能要求重新啟動 |
Microsoft Windows |
|
用於修復遠端執行程式碼漏洞的 Microsoft Office 安全更新 (3124585) |
嚴重 |
可能要求重新啟動 |
Microsoft Office、 |
|
用於修復遠端執行程式碼漏洞的 Windows 核心模式驅動程式安全更新 (3124584) |
嚴重 |
需要重啟 |
Microsoft Windows |
|
用於修復遠端執行程式碼漏洞的 Silverlight 安全更新 (3126036) |
嚴重 |
無需重啟 |
Microsoft Silverlight |
|
用於修復遠端執行程式碼漏洞的 Microsoft Windows 安全更新 (3124901) |
重要 |
需要重啟 |
Microsoft Windows |
|
用於修復特權提升漏洞的 Windows 核心安全更新 (3124605) |
重要 |
需要重啟 |
Microsoft Windows |
|
用於修復欺騙漏洞的 Microsoft Exchange Server 安全更新 (3124557) |
重要 |
可能要求重新啟動 |
Microsoft Exchange Server |
詳細資訊請參考2016年1月安全公告摘要: