MS16-087: Säkerhetsuppdatering för komponenter för utskriftshanteraren i Windows: 12 juli 2016

Gäller för
Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Foundation Windows Server 2008 for Itanium-Based Systems Windows Vista Service Pack 2 Windows Vista Ultimate Windows Vista Enterprise Windows Vista Business Windows Vista Home Premium Windows Vista Home Basic Windows Vista Starter

Meddelande

Den här säkerhetsuppdateringen släpptes på nytt den 12 september 2017 för att åtgärda kända problem i uppdatering 3170455 för CVE-2016-3238.

Microsoft har gjort följande uppdateringar tillgängliga för de versioner av Microsoft Windows som för närvarande omfattas av support. Mer information finns i följande artikel i Microsoft Knowledge Base:

Microsoft rekommenderar att kunder som kör Windows Server 2008 installerar om Update 3170455. Microsoft rekommenderar att kunder som kör andra versioner av Windows som stöds installerar lämplig uppdatering. Mer information finns i Microsoft Knowledge Base-artikeln 3170455.

Andra ändringar som ingår i MS16-087

  • Händelseloggning har lagts till för att fastställa orsaken till installationsfel i skrivardrivrutinen

Tidigare var det enda sättet för en kund att ta reda på varför en drivrutin misslyckades med de nya begränsningskontrollerna som implementerades som en del av MS16-087 att samla in ETW-loggar för utskrift och sedan skicka dem till Microsoft för analys.

Vi har lagt till funktioner för att logga orsaken till fel i händelseloggaren så att kunderna själva kan undersöka grundorsaken till drivrutinsfel.

Information som kommer att loggas:

1. veckor Om en drivrutin inte är paketmedveten eller inte är korrekt signerad loggas följande meddelande:

MSG_CSRSPL_UNTRUSTED_DRIVER: "Utskriftshanteraren kunde inte hämta paketet för drivrutinsnamnet <drivrutinsnamn>. Felkod= <errorCodeFromListBelow>. Blockera föraren eftersom det kan finnas risk för potentiell manipulering."

2. veckor Om en drivrutin inte klarar verifieringen av en signatur med hjälp av den angivna katalogen loggas följande meddelande:

VALIDATEDRVINFO_FAILED: "I VALIDATINGDRVINFO gick det inte att lägga till skrivardrivrutinens <drivrutinsnamn> , felkod <errorCodeFromListBelow>.

Möjliga felkoder:

Koda Betydelse
0x800F0243L Utgivaren är inte betrodd
0x800F024BL Hash inte i katalog
0x800F022FL Ingen katalog för OEM INF
0x800F023FL Ingen authenticode-katalog
0x800F0240L Authenticode tillåts inte
0x800F0249L Allmänt "Drivrutinsinstallation blockerad"

Sammanfattning

Den här säkerhetsuppdateringen löser sårbarheter i Microsoft Windows. Den allvarligare av sårbarheterna kan möjliggöra fjärrkörning av kod om en angripare kan utföra en MIT-attack (man-in-the-middle) på en arbetsstation eller utskriftsserver, eller konfigurera en falsk utskriftsserver på ett målnätverk.

Mer information om sårbarheten finns i Microsoft-säkerhetsbulletinen MS16-087.

Mer information

Viktigt!

  • När du har installerat den här säkerhetsuppdateringen måste du tillämpa följande samlade Windows-uppdateringsuppdateringar på Windows 8.1- eller Windows Server 2012 R2-skrivarservern för att kunna distribuera Peka och skriv ut-drivrutiner från utskriftsservrar till klienter:
    3000850 samlad uppdatering för november 2014 för Windows RT 8.1, Windows 8.1 och Windows Server 2012 R2
  • Alla framtida säkerhetsuppdateringar och icke-säkerhetsrelaterade uppdateringar för Windows RT 8.1, Windows 8.1 och Windows Server 2012 R2 kräver att uppdatering 2919355 installeras. Vi rekommenderar att du installerar Update 2919355 på en Windows RT 8.1-, Windows 8.1- eller Windows Server 2012 R2-baserad dator så att du får framtida uppdateringar.
  • Om du installerar ett språkpaket efter att du har installerat den här uppdateringen måste du installera om den här uppdateringen. Därför rekommenderar vi att du installerar alla språkpaket som du behöver innan du installerar den här uppdateringen. Mer information finns i Lägg till språkpaket i Windows.

Ytterligare information om den här säkerhetsuppdateringen

Följande artiklar innehåller ytterligare information om den här säkerhetsuppdateringen när det gäller enskilda produktversioner. Artiklarna kan innehålla information om kända problem.

  • 3170455 MS16-087: Beskrivning av säkerhetsuppdateringen för komponenter för utskriftshanteraren i Windows: 12 juli 2016
  • 3163912 Kumulativ uppdatering för Windows 10: 12 juli 2016
  • 3172985 Kumulativ uppdatering för Windows 10 version 1511 och Windows Server 2016 Technical Preview 4: 12 juli 2016

Kända problem

Om du använder nätverksutskrifter i din miljö kan något av följande uppstå:

  • Du kan få en varning om att installera en skrivardrivrutin eller så går det inte att installera drivrutinen utan att du får ett meddelande när du har installerat MS16-087. Symptomen här beror på det specifika scenariot.
    Scenario 1 För icke-paketmedvetna v3-skrivardrivrutiner kan följande varningsmeddelande visas när användare försöker ansluta till peka-och-skriv-ut-skrivare:

    E5E460DD-5995-37EF-44BD-60313F49C7F3
    Scenario 2: Paketmedvetna drivrutiner måste signeras med ett betrott certifikat. Verifieringsprocessen kontrollerar om alla filer som ingår i drivrutinen är hashkodade i katalogen. Om verifieringen misslyckas anses drivrutinen inte vara betrodd. I det här fallet blockeras drivrutinsinstallationen och följande varningsmeddelande visas:

    0B55CB05-AC97-13A3-D053-717A790F26A1
    Scenario 3 För icke-interaktiva scenarier (t.ex. om skrivaren har installerats med ett automatiserat skript) och skrivardrivrutinen matchar villkoren som beskrivs i scenario 1 eller scenario 2, misslyckas skrivarinstallationen och inget varningsmeddelande visas.

    I sådana fall kontaktar du nätverksadministratören för att få en uppdaterad drivrutin från skrivartillverkaren.

    Vägledning för nätverksadministratörer:

    • Uppdatera den berörda skrivardrivrutinen. Paketanpassade V3-skrivardrivrutiner har introducerats i Windows Vista. Installera en paketmedveten skrivardrivrutin för att lösa problemet.
    • Om en specifik äldre skrivare inte har rätt skrivardrivrutin kan du lösa problemet genom att förinstallera den problematiska skrivardrivrutinen på klientsystemet.

    Mer information om dessa scenarier finns i följande Microsoft-resurser:

  • När du installerat säkerhetsuppdateringen MS16-087 (KB 3170455) och försökt ansluta till en betrodd paketmedveten skrivare som är installerad på ett system som kör Windows 8.1 eller Windows Server 2012 R2 kan du inte ansluta till skrivaren.

    Lös problemet genom att tillämpa följande Windows Update samlad uppdatering på skrivarservern Windows 8.1 eller Windows Server 2012 R2:
    3000850 samlad uppdatering för november 2014 för Windows RT 8.1, Windows 8.1 och Windows Server 2012 R2

Uppdatering oktober 2016: Åtgärder för kända problem

Microsoft har släppt en uppdatering för oktober 2016 som gör att nätverksadministratörer kan konfigurera principer som tillåter installation av skrivardrivrutiner som de anser vara säkra. Uppdateringen gör det också möjligt för nätverksadministratörer att distribuera skrivaranslutningar som de anser vara säkra.

Uppdateringarna ingår i följande samlade paket.
 

Windows 10 RTM KB 3192440
Windows 10 1511 KB 3192441
Windows 10 1607 KB 3194798
Windows 7 och Windows Server 2008 R2 KB 3192403
Windows Server 2012 KB 3192406
Windows 8.1 och Windows Server 2012 R2 KB 3192404

Konfigurera Grupprincip för att lägga till utskriftsservrar i listan över tillåtna skrivare

  1. Klicka på Start och sedan på Kör.

  2. Skriv gpedit.msc och klicka på OK.

  3. Expandera Datorkonfiguration och sedan Administrativa mallar.

  4. Klicka på Skrivare.

  5. Dubbelklicka på Begränsningar för Peka och skriv ut och välj sedan alternativet Aktiverad.

  6. Markera kryssrutan Användare kan bara peka och skriva ut på dessa servrar under Alternativ, och skriv sedan de fullständigt kvalificerade servernamnen i textrutan, avgränsade med semikolon.

  7. Under Security Promptar anger du dem enligt följande:

    1. "När du installerar drivrutiner för en ny anslutning": "Visa uppmaning om varning och utökade rättigheter".
    2. "When updating drivers for an existing connection": "Show warning and elevation prompt".
  8. Klicka på Verkställ och sedan på OK.

  9. På sidan Principer för skrivare dubbelklickar du på Paketera servrar för Point and Print – Godkänd.

  10. Välj alternativet Aktiverad.

  11. Klicka på Visa under Alternativ.

  12. Skriv ett fullständigt kvalificerat servernamn på varje rad.

  13. Klicka på OK.

  14. Klicka på Verkställ och sedan på OK.

  15. Om du använder en fristående klient startar du om klienten och kontrollerar sedan att dessa principer tillämpas.

  16. Om du använder domänprinciper överför du principerna till domänklienterna och kontrollerar sedan att dessa principer tillämpas.

Obs! När du har aktiverat grupprinciperna måste du lägga till alla skrivarservrar i både listan Begränsningar för Peka och skriv ut och serverlistan Paketera och Skriv ut – Godkänd server. Detta gäller oavsett paketmedvetenhet.

Vanliga frågor och svar om uppdateringen i oktober 2016

  • F: Ska vi avinstallera den föregående uppdateringen?
    S: Nej. Den tidigare uppdateringen åtgärdar sårbarheten. Uppdateringen från oktober 2016 ger nätverksadministratörer möjlighet att installera drivrutiner som de anser vara säkra.

  • F: Även om oktober 2016-uppdateringen har installerats och grupprinciperna har konfigurerats visas meddelandet "Litar du på den här skrivaren" fortfarande när jag försöker installera en lokal skrivare. Varför är det så?
    S: Den här åtgärden riktar sig mot nätverksskrivare och inte lokala skrivare, så det här beteendet förväntas.

    Om du får meddelandet "Litar du på den här skrivaren" ersätter du den aktuella drivrutinen med en betrodd paketmedveten drivrutin eller installerar drivrutinsfilerna i det lokala drivrutinsarkivet innan du installerar den lokala skrivaren. Mer information finns i avsnittet Vägledning för nätverksadministratörer .

Hur man hämtar och installerar uppdateringen

Metod 1: Windows Update

Den här uppdateringen är tillgänglig via Windows Update. När du aktiverar automatisk uppdatering hämtas och installeras den här uppdateringen automatiskt. Mer information om hur du aktiverar automatisk uppdatering finns i Hämta säkerhetsuppdateringar automatiskt.

Obs! För Windows RT 8.1 är uppdateringen endast tillgänglig via Windows Update.

Metod 2: Microsoft Download Center

Du kan hämta det fristående uppdateringspaketet via Microsoft Download Center. Följ installationsanvisningarna på nedladdningssidan för att installera uppdateringen.

Klicka på nedladdningslänken i Microsoft-säkerhetsbulletinen MS16-087 som motsvarar den version av Windows som du kör.

Mer information

Information om distribution av säkerhetsuppdatering

Windows Vista (alla versioner) Referenstabell

Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
 

Filnamn för säkerhetsuppdateringar För alla 32-bitarsversioner av Windows Vista som stöds:
Windows6.0-KB3170455-x86.msu
För alla x64-baserade utgåvor av Windows Vista som stöds:
Windows6.0-KB3170455-x64.msu
Installationsväxlar Se Microsoft Knowledge Base-artikeln 934307
Krav på omstart I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet.
Information om borttagning WUSA.exe stöder inte avinstallation av uppdateringar. Om du vill avinstallera en uppdatering som installeras av WUSA klickar du på Kontrollpanelen och sedan på Säkerhet. Under Windows Update klickar du på Visa installerade uppdateringar och väljer sedan i listan över uppdateringar.
Filinformation Se Microsoft Knowledge Base-artikeln 3170455
Verifiering av registernyckel Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen.

Windows Server 2008 (alla versioner) Referenstabell

Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
 

Filnamn för säkerhetsuppdateringar För alla 32-bitarsversioner av Windows Server 2008 som stöds:
Windows6.0-KB3170455-x86.msu
För alla x64-baserade utgåvor av Windows Server 2008 som stöds:
Windows6.0-KB3170455-x64.msu
För alla Itanium-baserade utgåvor av Windows Server 2008 som stöds:
Windows6.0-KB3170455-ia64.msu
Installationsväxlar Se Microsoft Knowledge Base-artikeln 934307
Krav på omstart I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet.
Information om borttagning WUSA.exe stöder inte avinstallation av uppdateringar. Om du vill avinstallera en uppdatering som installeras av WUSA klickar du på Kontrollpanelen och sedan på Säkerhet. Under Windows Update klickar du på Visa installerade uppdateringar och väljer sedan i listan över uppdateringar.
Filinformation Se Microsoft Knowledge Base-artikeln 3170455
Verifiering av registernyckel Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen.

Windows 7 (alla versioner) Referenstabell

Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
 

Filnamn för säkerhetsuppdatering För alla 32-bitarsversioner av Windows 7 som stöds:
Windows6.1-KB3170455-x86.msu
För alla x64-baserade utgåvor av Windows 7 som stöds:
Windows6.1-KB3170455-x64.msu
Installationsväxlar Se Microsoft Knowledge Base-artikeln 934307
Krav på omstart I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet.
Information om borttagning För att avinstallera en uppdatering som installeras av WUSA, använd installationsväxeln /Uninstall eller klicka på Kontrollpanelen, klicka på System och säkerhet, klicka på Windows Update, klicka på Visa installerade uppdateringar och välj sedan i listan över uppdateringar.
Filinformation Se Microsoft Knowledge Base-artikeln 3170455
Verifiering av registernyckel Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen.

Windows Server 2008 R2 (alla versioner) Referenstabell

Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
 

Filnamn för säkerhetsuppdatering För alla x64-baserade utgåvor av Windows Server 2008 R2 som stöds:
Windows6.1-KB3170455-x64.msu
För alla Itanium-baserade utgåvor av Windows Server 2008 R2 som stöds:
Windows6.1-KB3170455-ia64.msu
Installationsväxlar Se Microsoft Knowledge Base-artikeln 934307
Krav på omstart I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet.
Information om borttagning För att avinstallera en uppdatering som installeras av WUSA, använd installationsväxeln /Uninstall eller klicka på Kontrollpanelen, klicka på System och säkerhet, klicka på Windows Update, klicka på Visa installerade uppdateringar och välj sedan i listan över uppdateringar.
Filinformation Se Microsoft Knowledge Base-artikeln 3170455
Verifiering av registernyckel Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen.

Windows 8.1 (alla utgåvor) Referenstabell

Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.

Filnamn för säkerhetsuppdatering För alla 32-bitarsversioner av Windows 8.1 som stöds:
Windows8.1-KB3170455-x86.msu
För alla x64-baserade utgåvor av Windows 8.1 som stöds:
Windows8.1-KB3170455-x64.msu
Installationsväxlar Se Microsoft Knowledge Base-artikeln 934307
Krav på omstart I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet.
Information om borttagning Om du vill avinstallera en uppdatering som installeras av WUSA använder du installationsväxeln /Uninstall eller klickar på Kontrollpanelen, klickar på System och säkerhet, klickar på Windows Update, klickar på Installerade uppdateringar under Se även och väljer sedan från listan med uppdateringar.
Filinformation Se Microsoft Knowledge Base-artikeln 3170455
Verifiering av registernyckel Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen.

Windows Server 2012 och Windows Server 2012 R2 (alla versioner) Referenstabell

Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
 

Filnamn för säkerhetsuppdatering För alla utgåvor av Windows Server 2012 som stöds:
Windows8-RT-KB3170455-x64.msu
För alla utgåvor av Windows Server 2012 R2 som stöds:
Windows8.1-KB3170455-x64.msu
Installationsväxlar Se Microsoft Knowledge Base-artikeln 934307
Krav på omstart I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet.
Information om borttagning Om du vill avinstallera en uppdatering som installeras av WUSA använder du installationsväxeln /Uninstall eller klickar på Kontrollpanelen, klickar på System och säkerhet, klickar på Windows Update, klickar på Installerade uppdateringar under Se även och väljer sedan från listan med uppdateringar.
Filinformation Se Microsoft Knowledge Base-artikeln 3170455
Verifiering av registernyckel Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen.

Windows RT 8.1 (alla versioner) Referenstabell

Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
 

Distribution Den här uppdateringen är endast tillgänglig via Windows Update.
Krav på omstart I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet.
Information om borttagning Klicka på Kontrollpanelen, klicka på System och säkerhet, klicka på Windows Update och klicka sedan på Installerade uppdateringar under Se även och välj från listan över uppdateringar.
Filinformation Se Microsoft Knowledge Base-artikeln 3170455

Windows 10 (alla versioner) Referenstabell

Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
 

Filnamn för säkerhetsuppdatering För alla 32-bitarsversioner av Windows 10 som stöds:
Windows10.0-KB3163912-x86.msu
För alla x64-baserade utgåvor av Windows 10 som stöds:
Windows10.0-KB3163912-x64.msu
För alla 32-bitarsversioner av Windows 10 version 1511 som stöds:
Windows10.0-KB3172985-x86.msu
För alla x64-baserade utgåvor av Windows 10 version 1511 som stöds:
Windows10.0-KB3172985-x64.msu
Installationsväxlar Se Microsoft Knowledge Base-artikeln 934307
Krav på omstart I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet.
Information om borttagning Om du vill avinstallera en uppdatering som installeras av WUSA använder du installationsväxeln /Uninstall eller klickar på Kontrollpanelen, klickar på System och säkerhet, klickar på Windows Update, klickar på Installerade uppdateringar under Se även och väljer sedan från listan med uppdateringar.
Filinformation Se Microsoft Knowledge Base-artikeln 3163912
Se Microsoft Knowledge Base-artikeln 3172985
Verifiering av registernyckel Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen.
Så här får du hjälp och support för den här säkerhetsuppdateringen

Hjälp med att installera uppdateringar: Stöd för Microsoft Update

Säkerhetslösningar för IT-proffs: TechNet Felsökning och support för säkerhet

Hjälp för att skydda din Windows-dator från virus och skadlig programvara: Viruslösning och Säkerhetscenter

Lokal support i olika länder: Internationell support