Varsel
Denne sikkerhetsoppdateringen ble utgitt på nytt 12. september 2017 for å løse kjente problemer i oppdatering 3170455 for CVE-2016-3238.
Microsoft har gjort tilgjengelig følgende oppdateringer for versjoner av Microsoft Windows som støttes. Du finner mer informasjon i følgende artikkel i Microsoft Knowledge Base:
- Ny utgitt oppdatering 3170455 for Windows Server 2008
- Månedlig samleoppdatering 4038777 og sikkerhetsoppdatering 4038779 for Windows 7 og Windows Server 2008 R2
- Månedlig samleoppdatering 4038799 og sikkerhetsoppdatering 4038786 for Windows Server 2012
- Månedlig samleoppdatering 4038792 og sikkerhetsoppdatering 4038793 for Windows 8.1 og Windows Server 2012 R2
- Kumulativ oppdatering 4038781 for Windows 10
- Kumulativ oppdatering 4038781 for Windows 10 versjon 1511
- Kumulativ oppdatering 4038782 for Windows 10 versjon 1607 og Windows Server 2016
Microsoft anbefaler at kunder som kjører Windows Server 2008-oppdatering på nytt 3170455. Microsoft anbefaler at kunder som kjører andre støttede versjoner av Windows, installerer den aktuelle oppdateringen. Hvis du vil ha mer informasjon, kan du gå til artikkelen i Microsoft Knowledge Base 3170455.
Andre endringer som er inkludert i den nye utgivelsen av MS16-087
- La til hendelseslogging for å fastslå årsaken til feil ved installasjon av skriverdrivere
Tidligere var den eneste måten for en kunde å finne ut hvorfor en driver ikke besto de nye begrensningskontrollene som ble implementert som en del av MS16-087, å samle inn etw-logger for utskrift og deretter sende dem til Microsoft for analyse.
Vi har lagt til funksjonalitet for å logge årsaken til feil i hendelsesloggeren, slik at kunder selv kan undersøke årsaken til driverfeil.
Informasjon som vil bli loggført:
1. Hvis en driver ikke er pakkefølsom eller ikke er riktig signert, loggføres følgende melding:
MSG_CSRSPL_UNTRUSTED_DRIVER: "Utskriftskøen kunne ikke laste ned pakken for driverdrivernavnet><. Error code= <errorCodeFromListBelow>. Blokkerer sjåføren da det kan være en mulighet for potensiell tukling."
2. Hvis en driver ikke validerer en signatur ved hjelp av den angitte katalogen, loggføres følgende melding:
VALIDATEDRVINFO_FAILED: «I VALIDERINGDRVINFO, Kunne ikke legge til drivernavn> for skriverdriver<, feilkode <feilCodeFromListBelow>.
Mulige feilkoder:
| Kode | Betydning |
|---|---|
| 0x800F0243L | Utgiver ikke klarert |
| 0x800F024BL | Hash ikke i katalogen |
| 0x800F022FL | Ingen katalog for OEM INF |
| 0x800F023FL | Ingen authenticode-katalog |
| 0x800F0240L | Authenticode ikke tillatt |
| 0x800F0249L | Generisk «Driverinstallasjon blokkert» |
Sammendrag
Denne sikkerhetsoppdateringen løser sårbarheter i Microsoft Windows. De mer alvorlige av sårbarhetene kan tillate ekstern kjøring av kode hvis en angriper er i stand til å utføre et mellommann-angrep (MiTM) på en arbeidsstasjon eller utskriftsserver, eller sette opp et falskt skriverserver på et målnettverk.
Hvis du vil vite mer om sikkerhetsproblemet, kan du se Microsofts sikkerhetsbulletin MS16-087.
Mer informasjon
Viktig
- Når du har installert denne sikkerhetsoppdateringen, må du bruke følgende samleoppdatering for Windows Update på skriverserveren for Windows 8.1 eller Windows Server 2012 R2 for å distribuere pek og skriv ut-drivere fra utskriftsservere til klienter:
3000850 samleoppdatering for november 2014 for Windows RT 8.1, Windows 8.1 og Windows Server 2012 R2 - Alle fremtidige sikkerhetsoppdateringer og ikke-sikkerhetsrelaterte oppdateringer for Windows RT 8.1, Windows 8.1 og Windows Server 2012 R2 krever oppdatering 2919355 for å bli installert. Vi anbefaler at du installerer oppdatering 2919355 på den Windows RT 8.1-baserte, Windows 8.1-baserte eller Windows Server 2012 R2-baserte datamaskinen, slik at du får fremtidige oppdateringer.
- Hvis du installerer en språkpakke etter at du har installert denne oppdateringen, må du installere denne oppdateringen på nytt. Derfor anbefaler vi at du installerer alle språkpakker du trenger før du installerer denne oppdateringen. Hvis du vil ha mer informasjon, kan du se Legge til språkpakker i Windows.
Tilleggsinformasjon om denne sikkerhetsoppdateringen
Følgende artikler inneholder tilleggsinformasjon om denne sikkerhetsoppdateringen når det gjelder individuelle produktversjoner. Artiklene kan inneholde kjent informasjon om problemet.
- 3170455 MS16-087: Beskrivelse av sikkerhetsoppdateringen for utskriftskøkomponenter i Windows: 12. juli 2016
- 3163912 kumulativ oppdatering for Windows 10: 12. juli 2016
- 3172985 kumulativ oppdatering for Windows 10 versjon 1511 og Windows Server 2016 Technical Preview 4: 12. juli 2016
Kjente problemer
Hvis du bruker nettverksutskrift i miljøet, kan du oppleve et av følgende problemer:
Du kan få en advarsel om å installere en skriverdriver, eller driveren kan kanskje ikke installeres uten varsel når du har tatt i bruk MS16-087. Symptomene her avhenger av det spesifikke scenarioet.
Scenario 1 For ikke-pakkeoppmerksomme v3-skriverdrivere kan følgende advarsel vises når brukere prøver å koble til pek-og-skriv ut-skrivere:
Scenario 2: Pakkeoppmerksomme drivere må være signert med et klarert sertifikat. Bekreftelsesprosessen kontrollerer om alle filene som er inkludert i driveren, er nummerert i katalogen. Hvis denne bekreftelsen mislykkes, anses sjåføren som upålitelig. I denne situasjonen blokkeres driverinstallasjonen, og følgende advarsel vises:
Scenario 3 For ikke-interaktive scenarioer (for eksempel at skriveren er installert via et automatisert skript), når skriverdriveren oppfyller vilkårene som er beskrevet i scenario 1 eller scenario 2, mislykkes skriverinstallasjonen, og det vises ingen advarsel.I slike situasjoner kontakter du nettverksadministratoren for å få en oppdatert driver fra skriverprodusenten.
Veiledning for nettverksadministratorer:
- Oppdater den berørte skriverdriveren. Pakkefølsomme V3-skriverdrivere ble introdusert i Windows Vista. Hvis du installerer en pakkefølsom skriverdriver, løser du problemet.
- Hvis en bestemt eldre skriver ikke har den riktige skriverdriveren tilgjengelig, kan du løse problemet ved å forhåndsinstallere den problematiske skriverdriveren på klientsystemet.
Hvis du vil ha mer informasjon om disse scenariene, kan du se følgende Microsoft-ressurser:
Når du har installert sikkerhetsoppdatering MS16-087 (KB 3170455) og forsøkt å koble til en klarert, pakkefølsom skriver som er installert på et system som kjører Windows 8.1 eller Windows Server 2012 R2, kan du ikke koble til skriveren.
Du kan løse dette problemet ved å bruke følgende samleoppdatering for Windows på skriverserveren for Windows 8.1 eller Windows Server 2012 R2:
3000850 samleoppdatering for november 2014 for Windows RT 8.1, Windows 8.1 og Windows Server 2012 R2
Oppdatering oktober 2016: Løsninger for kjente problemer
Microsoft har lansert en oppdatering for oktober 2016 som lar nettverksadministratorer konfigurere policyer som tillater installasjon av skriverdrivere de anser som trygge. Denne oppdateringen gjør det også mulig for nettverksadministratorer å distribuere skrivertilkoblinger som de anser som trygge.
Oppdateringene finnes i følgende samlepakker.
| Windows 10 RTM | KB-3192440 |
|---|---|
| Windows 10 1511 | KB 3192441 |
| Windows 10 1607 | KB 3194798 |
| Windows 7 og Windows Server 2008 R2 | KB 3192403 |
| Windows Server 2012 | KB 3192406 |
| Windows 8.1 og Windows Server 2012 R2 | KB-3192404 |
Konfigurere gruppepolicy for å legge til utskriftsservere i tillatelseslisten
KlikkStart, og klikk deretter Kjør.
Skriv inn gpedit.msc, og klikk deretter OK.
Utvid Datamaskinkonfigurasjon og deretter Administrative maler.
Klikk Skrivere.
Dobbeltklikk på Begrensninger for pek og skriv ut, og velg deretter alternativet Aktivert.
Merk av for Brukere kan bare peke og skrive ut på disse serverne under Alternativer, og skriv deretter inn de fullstendige servernavnene i tekstboksen, atskilt med semikolon.
Under Sikkerhets-Instrukser angir du dem som følger:
- "Når du installerer drivere for en ny tilkobling": "Vis advarsel og høydemelding".
- "Når du oppdaterer drivere for en eksisterende tilkobling": "Vis advarsel og høydemelding".
Klikk på Bruk og deretter på OK.
På policysiden for skrivere dobbeltklikker du Pakk pek og skriv ut – godkjente servere.
Velg alternativet Aktivert.
Klikk på Vis under Alternativer.
Skriv inn ett fullstendig servernavn i hver rad.
Klikk OK.
Klikk Bruk, og klikk deretter OK.
Hvis du bruker en frittstående klient, starter du klienten på nytt og kontrollerer deretter at disse policyene er aktive.
Hvis du bruker domenepolicyer, skyver du policyene til domeneklientene og kontrollerer deretter at disse policyene er aktive.
Når du har aktivert disse gruppepolicyene, må du legge til alle skriverservere i både listen over begrensninger for peking og utskrift og listen Pakk pek og skriv ut – godkjent server. Dette gjelder uavhengig av pakkebevissthet.
Vanlige spørsmål om oktober 2016-oppdatering
Spørsmål: Bør vi avinstallere den forrige oppdateringen?
A: No. Den forrige oppdateringen løser sikkerhetsproblemet. Oktober 2016-oppdateringen gir nettverksadministratorer muligheten til å installere drivere de anser som trygge.Spørsmål: Selv om oppdateringen for oktober 2016 er installert og gruppepolicyene konfigurert, vises meldingen «Stoler du denne skriveren» fremdeles når jeg prøver å installere en lokal skriver. Hvorfor ikke?
Sv.: Denne begrensningen retter seg mot nettverksskrivere og ikke lokale skrivere, så denne virkemåten er forventet.Obs! Hvis du får meldingen «Stoler du på denne skriveren», må du enten erstatte den gjeldende driveren ved å bruke en klarert pakkeklar driver eller installere driverfilene i det lokale driverlageret før du installerer den lokale skriveren. Hvis du vil ha mer informasjon, kan du se delen Veiledning for nettverksadministratorer .
Slik får du tak i og installerer oppdateringen
Metode 1: Windows Update
Denne oppdateringen er tilgjengelig via Windows Update. Når du aktiverer automatisk oppdatering, blir denne oppdateringen lastet ned og installert automatisk. Hvis du vil ha mer informasjon om hvordan du aktiverer automatisk oppdatering, kan du se Få sikkerhetsoppdateringer automatisk.
Obs! For Windows RT 8.1 er denne oppdateringen bare tilgjengelig via Windows Update.
Metode 2: Microsoft Download Center
Du kan få tak i den frittstående oppdateringspakken via Microsoft Download Center. Følg installasjonsinstruksjonene på nedlastingssiden for å installere oppdateringen.
Klikk nedlastingskoblingen i sikkerhetsbulletin MS16-087 fra Microsoft som svarer til versjonen av Windows du kjører.
Mer informasjon
Distribusjonsinformasjon for sikkerhetsoppdatering
Referansetabell for Windows Vista (alle utgaver)
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdateringen for denne programvaren.
| Navn på sikkerhetsoppdateringsfiler | For alle støttede 32-biters versjoner av Windows Vista: Windows6.0-KB3170455-x86.msu |
|---|---|
| For alle støttede, x64-baserte versjoner av Windows Vista: Windows6.0-KB3170455-x64.msu |
|
| Installasjonsbrytere | Se Microsoft Knowledge Base-artikkel 934307 |
| Behov for omstart | Denne oppdateringen krever i enkelte tilfeller at systemet startes på nytt. Hvis de nødvendige filene er i bruk, krever denne oppdateringen en omstart. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
| Informasjon om fjerning | WUSA.exe støtter ikke avinstallasjon av oppdateringer. Hvis du vil avinstallere en oppdatering som er installert av WUSA, klikker du Kontrollpanel og deretter Sikkerhet. Klikk Vis installerte oppdateringer under Windows Update, og velg deretter fra listen over oppdateringer. |
| Filinformasjon | Se Microsoft Knowledge Base-artikkel 3170455 |
| Verifisering av registernøkkel | Obs! Det finnes ingen registernøkkel for å validere tilstedeværelsen av denne oppdateringen. |
Windows Server 2008 (alle utgaver) referansetabell
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdateringen for denne programvaren.
| Navn på sikkerhetsoppdateringsfiler | For alle støttede 32-biters utgaver av Windows Server 2008: Windows6.0-KB3170455-x86.msu |
|---|---|
| For alle støttede x64-baserte versjoner av Windows Server 2008: Windows6.0-KB3170455-x64.msu |
|
| For alle støttede Itanium-baserte versjoner av Windows Server 2008: Windows6.0-KB3170455-ia64.msu |
|
| Installasjonsbrytere | Se Microsoft Knowledge Base-artikkel 934307 |
| Behov for omstart | Denne oppdateringen krever i enkelte tilfeller at systemet startes på nytt. Hvis de nødvendige filene er i bruk, krever denne oppdateringen en omstart. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
| Informasjon om fjerning | WUSA.exe støtter ikke avinstallasjon av oppdateringer. Hvis du vil avinstallere en oppdatering som er installert av WUSA, klikker du Kontrollpanel og deretter Sikkerhet. Klikk Vis installerte oppdateringer under Windows Update, og velg deretter fra listen over oppdateringer. |
| Filinformasjon | Se Microsoft Knowledge Base-artikkel 3170455 |
| Verifisering av registernøkkel | Obs! Det finnes ingen registernøkkel for å validere tilstedeværelsen av denne oppdateringen. |
Referansetabell for Windows 7 (alle utgaver)
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdateringen for denne programvaren.
| Filnavn for sikkerhetsoppdatering | For alle støttede 32-biters versjoner av Windows 7: Windows6.1-KB3170455-x86.msu |
|---|---|
| For alle støttede, x64-baserte versjoner av Windows 7: Windows6.1-KB3170455-x64.msu |
|
| Installasjonsbrytere | Se Microsoft Knowledge Base-artikkel 934307 |
| Behov for omstart | Denne oppdateringen krever i enkelte tilfeller at systemet startes på nytt. Hvis de nødvendige filene er i bruk, krever denne oppdateringen en omstart. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
| Informasjon om fjerning | Hvis du vil avinstallere en oppdatering som er installert av WUSA, bruker du bryteren /Uninstall setup eller klikker på Kontrollpanel, klikker på System og sikkerhet, klikker på Windows Update, klikker på Vis installerte oppdateringer og velger deretter fra listen over oppdateringer. |
| Filinformasjon | Se Microsoft Knowledge Base-artikkel 3170455 |
| Verifisering av registernøkkel | Obs! Det finnes ingen registernøkkel for å validere tilstedeværelsen av denne oppdateringen. |
Windows Server 2008 R2 (alle utgaver) referansetabell
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdateringen for denne programvaren.
| Filnavn for sikkerhetsoppdatering | For alle støttede x64-baserte versjoner av Windows Server 2008 R2: Windows6.1-KB3170455-x64.msu |
|---|---|
| For alle støttede Itanium-baserte versjoner av Windows Server 2008 R2: Windows6.1-KB3170455-ia64.msu |
|
| Installasjonsbrytere | Se Microsoft Knowledge Base-artikkel 934307 |
| Behov for omstart | Denne oppdateringen krever i enkelte tilfeller at systemet startes på nytt. Hvis de nødvendige filene er i bruk, krever denne oppdateringen en omstart. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
| Informasjon om fjerning | Hvis du vil avinstallere en oppdatering som er installert av WUSA, bruker du bryteren /Uninstall setup eller klikker på Kontrollpanel, klikker på System og sikkerhet, klikker på Windows Update, klikker på Vis installerte oppdateringer og velger deretter fra listen over oppdateringer. |
| Filinformasjon | Se Microsoft Knowledge Base-artikkel 3170455 |
| Verifisering av registernøkkel | Obs! Det finnes ingen registernøkkel for å validere tilstedeværelsen av denne oppdateringen. |
Windows 8.1 (alle utgaver) referansetabell
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdateringen for denne programvaren.
| Filnavn for sikkerhetsoppdatering | For alle støttede 32-biters utgaver av Windows 8.1: Windows8.1-KB3170455-x86.msu |
|---|---|
| For alle støttede, x64-baserte versjoner av Windows 8.1: Windows8.1-KB3170455-x64.msu |
|
| Installasjonsbrytere | Se Microsoft Knowledge Base-artikkel 934307 |
| Behov for omstart | Denne oppdateringen krever i enkelte tilfeller at systemet startes på nytt. Hvis de nødvendige filene er i bruk, krever denne oppdateringen en omstart. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
| Informasjon om fjerning | Hvis du vil avinstallere en oppdatering som er installert av WUSA, bruker du bryteren /Uninstall setup eller klikker på Kontrollpanel, klikker på System og sikkerhet, klikker på Windows Update, klikker på Installerte oppdateringer under Se også, og velger deretter fra listen over oppdateringer. |
| Filinformasjon | Se Microsoft Knowledge Base-artikkel 3170455 |
| Verifisering av registernøkkel | Obs! Det finnes ingen registernøkkel for å validere tilstedeværelsen av denne oppdateringen. |
Windows Server 2012 og Windows Server 2012 R2 (alle utgaver) referansetabell
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdateringen for denne programvaren.
| Filnavn for sikkerhetsoppdatering | For alle støttede utgaver av Windows Server 2012: Windows8-RT-KB3170455-x64.msu |
|---|---|
| For alle støttede utgaver av Windows Server 2012 R2: Windows8.1-KB3170455-x64.msu |
|
| Installasjonsbrytere | Se Microsoft Knowledge Base-artikkel 934307 |
| Behov for omstart | Denne oppdateringen krever i enkelte tilfeller at systemet startes på nytt. Hvis de nødvendige filene er i bruk, krever denne oppdateringen en omstart. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
| Informasjon om fjerning | Hvis du vil avinstallere en oppdatering som er installert av WUSA, bruker du bryteren /Uninstall setup eller klikker på Kontrollpanel, klikker på System og sikkerhet, klikker på Windows Update, klikker på Installerte oppdateringer under Se også, og velger deretter fra listen over oppdateringer. |
| Filinformasjon | Se Microsoft Knowledge Base-artikkel 3170455 |
| Verifisering av registernøkkel | Obs! Det finnes ingen registernøkkel for å validere tilstedeværelsen av denne oppdateringen. |
Windows RT 8.1 (alle utgaver) referansetabell
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdateringen for denne programvaren.
| Distribusjon | Denne oppdateringen er bare tilgjengelig via Windows Update. |
|---|---|
| Krav om omstart | Denne oppdateringen krever i enkelte tilfeller at systemet startes på nytt. Hvis de nødvendige filene er i bruk, krever denne oppdateringen en omstart. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
| Informasjon om fjerning | Klikk Kontrollpanel, klikk System og sikkerhet, klikk Windows Update, og klikk deretter Installerte oppdateringer under Se også, og velg fra listen over oppdateringer. |
| Filinformasjon | Se Microsoft Knowledge Base-artikkel 3170455 |
Windows 10 (alle utgaver) referansetabell
Tabellen nedenfor inneholder informasjon om sikkerhetsoppdateringen for denne programvaren.
| Filnavn for sikkerhetsoppdatering | For alle støttede 32-biters utgaver av Windows 10: Windows10.0-KB3163912-x86.msu |
|---|---|
| For alle støttede x64-baserte versjoner av Windows 10: Windows10.0-KB3163912-x64.msu |
|
| For alle støttede 32-biters utgaver av Windows 10 versjon 1511: Windows10.0-KB3172985-x86.msu |
|
| For alle støttede x64-baserte versjoner av Windows 10 versjon 1511: Windows10.0-KB3172985-x64.msu |
|
| Installasjonsbrytere | Se Microsoft Knowledge Base-artikkel 934307 |
| Behov for omstart | Denne oppdateringen krever i enkelte tilfeller at systemet startes på nytt. Hvis de nødvendige filene er i bruk, krever denne oppdateringen en omstart. Hvis dette skjer, får du en melding som ber deg om å starte systemet på nytt. |
| Informasjon om fjerning | Hvis du vil avinstallere en oppdatering som er installert av WUSA, bruker du bryteren /Uninstall setup eller klikker på Kontrollpanel, klikker på System og sikkerhet, klikker på Windows Update, klikker på Installerte oppdateringer under Se også, og velger deretter fra listen over oppdateringer. |
| Filinformasjon | Se Microsoft Knowledge Base-artikkel 3163912 Se Microsoft Knowledge Base-artikkel 3172985 |
| Verifisering av registernøkkel | Obs! Det finnes ingen registernøkkel for å validere tilstedeværelsen av denne oppdateringen. |
Slik får du hjelp og støtte for denne sikkerhetsoppdateringen
Hjelp for å installere oppdateringer: Støtte for Microsoft Update
Sikkerhetsløsninger for IT-eksperter: TechNet-feilsøking og -støtte for sikkerhet
Hjelp til å beskytte den Windows-baserte datamaskinen din mot virus og skadelig programvare: Virusløsning og sikkerhetssenter
Lokal støtte i henhold til landet ditt: Internasjonal støtte