Meddelande
Den här säkerhetsuppdateringen släpptes på nytt den 12 september 2017 för att åtgärda kända problem i uppdatering 3170455 för CVE-2016-3238.
Microsoft har gjort följande uppdateringar tillgängliga för de versioner av Microsoft Windows som för närvarande omfattas av support. Mer information finns i följande artikel i Microsoft Knowledge Base:
- Uppdatering 3170455 för Windows Server 2008
- Månatlig samlad uppdatering 4038777 och säkerhetsuppdatering 4038779 för Windows 7 och Windows Server 2008 R2
- Månatlig samlad 4038799 och säkerhetsuppdatering 4038786 för Windows Server 2012
- Månatlig samlad 4038792 och säkerhetsuppdatering 4038793 för Windows 8.1 och Windows Server 2012 R2
- Kumulativ uppdatering 4038781 för Windows 10
- Kumulativ uppdatering 4038781 för Windows 10 version 1511
- Kumulativ uppdatering 4038782 för Windows 10 version 1607 och Windows Server 2016
Microsoft rekommenderar att kunder som kör Windows Server 2008 installerar om Update 3170455. Microsoft rekommenderar att kunder som kör andra versioner av Windows som stöds installerar lämplig uppdatering. Mer information finns i Microsoft Knowledge Base-artikeln 3170455.
Andra ändringar som ingår i MS16-087
- Händelseloggning har lagts till för att fastställa orsaken till installationsfel i skrivardrivrutinen
Tidigare var det enda sättet för en kund att ta reda på varför en drivrutin misslyckades med de nya begränsningskontrollerna som implementerades som en del av MS16-087 att samla in ETW-loggar för utskrift och sedan skicka dem till Microsoft för analys.
Vi har lagt till funktioner för att logga orsaken till fel i händelseloggaren så att kunderna själva kan undersöka grundorsaken till drivrutinsfel.
Information som kommer att loggas:
1. veckor Om en drivrutin inte är paketmedveten eller inte är korrekt signerad loggas följande meddelande:
MSG_CSRSPL_UNTRUSTED_DRIVER: "Utskriftshanteraren kunde inte hämta paketet för drivrutinsnamnet <drivrutinsnamn>. Felkod= <errorCodeFromListBelow>. Blockera föraren eftersom det kan finnas risk för potentiell manipulering."
2. veckor Om en drivrutin inte klarar verifieringen av en signatur med hjälp av den angivna katalogen loggas följande meddelande:
VALIDATEDRVINFO_FAILED: "I VALIDATINGDRVINFO gick det inte att lägga till skrivardrivrutinens <drivrutinsnamn> , felkod <errorCodeFromListBelow>.
Möjliga felkoder:
| Koda | Betydelse |
|---|---|
| 0x800F0243L | Utgivaren är inte betrodd |
| 0x800F024BL | Hash inte i katalog |
| 0x800F022FL | Ingen katalog för OEM INF |
| 0x800F023FL | Ingen authenticode-katalog |
| 0x800F0240L | Authenticode tillåts inte |
| 0x800F0249L | Allmänt "Drivrutinsinstallation blockerad" |
Sammanfattning
Den här säkerhetsuppdateringen löser sårbarheter i Microsoft Windows. Den allvarligare av sårbarheterna kan möjliggöra fjärrkörning av kod om en angripare kan utföra en MIT-attack (man-in-the-middle) på en arbetsstation eller utskriftsserver, eller konfigurera en falsk utskriftsserver på ett målnätverk.
Mer information om sårbarheten finns i Microsoft-säkerhetsbulletinen MS16-087.
Mer information
Viktigt!
- När du har installerat den här säkerhetsuppdateringen måste du tillämpa följande samlade Windows-uppdateringsuppdateringar på Windows 8.1- eller Windows Server 2012 R2-skrivarservern för att kunna distribuera Peka och skriv ut-drivrutiner från utskriftsservrar till klienter:
3000850 samlad uppdatering för november 2014 för Windows RT 8.1, Windows 8.1 och Windows Server 2012 R2 - Alla framtida säkerhetsuppdateringar och icke-säkerhetsrelaterade uppdateringar för Windows RT 8.1, Windows 8.1 och Windows Server 2012 R2 kräver att uppdatering 2919355 installeras. Vi rekommenderar att du installerar Update 2919355 på en Windows RT 8.1-, Windows 8.1- eller Windows Server 2012 R2-baserad dator så att du får framtida uppdateringar.
- Om du installerar ett språkpaket efter att du har installerat den här uppdateringen måste du installera om den här uppdateringen. Därför rekommenderar vi att du installerar alla språkpaket som du behöver innan du installerar den här uppdateringen. Mer information finns i Lägg till språkpaket i Windows.
Ytterligare information om den här säkerhetsuppdateringen
Följande artiklar innehåller ytterligare information om den här säkerhetsuppdateringen när det gäller enskilda produktversioner. Artiklarna kan innehålla information om kända problem.
- 3170455 MS16-087: Beskrivning av säkerhetsuppdateringen för komponenter för utskriftshanteraren i Windows: 12 juli 2016
- 3163912 Kumulativ uppdatering för Windows 10: 12 juli 2016
- 3172985 Kumulativ uppdatering för Windows 10 version 1511 och Windows Server 2016 Technical Preview 4: 12 juli 2016
Kända problem
Om du använder nätverksutskrifter i din miljö kan något av följande uppstå:
Du kan få en varning om att installera en skrivardrivrutin eller så går det inte att installera drivrutinen utan att du får ett meddelande när du har installerat MS16-087. Symptomen här beror på det specifika scenariot.
Scenario 1 För icke-paketmedvetna v3-skrivardrivrutiner kan följande varningsmeddelande visas när användare försöker ansluta till peka-och-skriv-ut-skrivare:
Scenario 2: Paketmedvetna drivrutiner måste signeras med ett betrott certifikat. Verifieringsprocessen kontrollerar om alla filer som ingår i drivrutinen är hashkodade i katalogen. Om verifieringen misslyckas anses drivrutinen inte vara betrodd. I det här fallet blockeras drivrutinsinstallationen och följande varningsmeddelande visas:
Scenario 3 För icke-interaktiva scenarier (t.ex. om skrivaren har installerats med ett automatiserat skript) och skrivardrivrutinen matchar villkoren som beskrivs i scenario 1 eller scenario 2, misslyckas skrivarinstallationen och inget varningsmeddelande visas.I sådana fall kontaktar du nätverksadministratören för att få en uppdaterad drivrutin från skrivartillverkaren.
Vägledning för nätverksadministratörer:
- Uppdatera den berörda skrivardrivrutinen. Paketanpassade V3-skrivardrivrutiner har introducerats i Windows Vista. Installera en paketmedveten skrivardrivrutin för att lösa problemet.
- Om en specifik äldre skrivare inte har rätt skrivardrivrutin kan du lösa problemet genom att förinstallera den problematiska skrivardrivrutinen på klientsystemet.
Mer information om dessa scenarier finns i följande Microsoft-resurser:
När du installerat säkerhetsuppdateringen MS16-087 (KB 3170455) och försökt ansluta till en betrodd paketmedveten skrivare som är installerad på ett system som kör Windows 8.1 eller Windows Server 2012 R2 kan du inte ansluta till skrivaren.
Lös problemet genom att tillämpa följande Windows Update samlad uppdatering på skrivarservern Windows 8.1 eller Windows Server 2012 R2:
3000850 samlad uppdatering för november 2014 för Windows RT 8.1, Windows 8.1 och Windows Server 2012 R2
Uppdatering oktober 2016: Åtgärder för kända problem
Microsoft har släppt en uppdatering för oktober 2016 som gör att nätverksadministratörer kan konfigurera principer som tillåter installation av skrivardrivrutiner som de anser vara säkra. Uppdateringen gör det också möjligt för nätverksadministratörer att distribuera skrivaranslutningar som de anser vara säkra.
Uppdateringarna ingår i följande samlade paket.
| Windows 10 RTM | KB 3192440 |
|---|---|
| Windows 10 1511 | KB 3192441 |
| Windows 10 1607 | KB 3194798 |
| Windows 7 och Windows Server 2008 R2 | KB 3192403 |
| Windows Server 2012 | KB 3192406 |
| Windows 8.1 och Windows Server 2012 R2 | KB 3192404 |
Konfigurera Grupprincip för att lägga till utskriftsservrar i listan över tillåtna skrivare
Klicka på Start och sedan på Kör.
Skriv gpedit.msc och klicka på OK.
Expandera Datorkonfiguration och sedan Administrativa mallar.
Klicka på Skrivare.
Dubbelklicka på Begränsningar för Peka och skriv ut och välj sedan alternativet Aktiverad.
Markera kryssrutan Användare kan bara peka och skriva ut på dessa servrar under Alternativ, och skriv sedan de fullständigt kvalificerade servernamnen i textrutan, avgränsade med semikolon.
Under Security Promptar anger du dem enligt följande:
- "När du installerar drivrutiner för en ny anslutning": "Visa uppmaning om varning och utökade rättigheter".
- "When updating drivers for an existing connection": "Show warning and elevation prompt".
Klicka på Verkställ och sedan på OK.
På sidan Principer för skrivare dubbelklickar du på Paketera servrar för Point and Print – Godkänd.
Välj alternativet Aktiverad.
Klicka på Visa under Alternativ.
Skriv ett fullständigt kvalificerat servernamn på varje rad.
Klicka på OK.
Klicka på Verkställ och sedan på OK.
Om du använder en fristående klient startar du om klienten och kontrollerar sedan att dessa principer tillämpas.
Om du använder domänprinciper överför du principerna till domänklienterna och kontrollerar sedan att dessa principer tillämpas.
Obs! När du har aktiverat grupprinciperna måste du lägga till alla skrivarservrar i både listan Begränsningar för Peka och skriv ut och serverlistan Paketera och Skriv ut – Godkänd server. Detta gäller oavsett paketmedvetenhet.
Vanliga frågor och svar om uppdateringen i oktober 2016
F: Ska vi avinstallera den föregående uppdateringen?
S: Nej. Den tidigare uppdateringen åtgärdar sårbarheten. Uppdateringen från oktober 2016 ger nätverksadministratörer möjlighet att installera drivrutiner som de anser vara säkra.F: Även om oktober 2016-uppdateringen har installerats och grupprinciperna har konfigurerats visas meddelandet "Litar du på den här skrivaren" fortfarande när jag försöker installera en lokal skrivare. Varför är det så?
S: Den här åtgärden riktar sig mot nätverksskrivare och inte lokala skrivare, så det här beteendet förväntas.Om du får meddelandet "Litar du på den här skrivaren" ersätter du den aktuella drivrutinen med en betrodd paketmedveten drivrutin eller installerar drivrutinsfilerna i det lokala drivrutinsarkivet innan du installerar den lokala skrivaren. Mer information finns i avsnittet Vägledning för nätverksadministratörer .
Hur man hämtar och installerar uppdateringen
Metod 1: Windows Update
Den här uppdateringen är tillgänglig via Windows Update. När du aktiverar automatisk uppdatering hämtas och installeras den här uppdateringen automatiskt. Mer information om hur du aktiverar automatisk uppdatering finns i Hämta säkerhetsuppdateringar automatiskt.
Obs! För Windows RT 8.1 är uppdateringen endast tillgänglig via Windows Update.
Metod 2: Microsoft Download Center
Du kan hämta det fristående uppdateringspaketet via Microsoft Download Center. Följ installationsanvisningarna på nedladdningssidan för att installera uppdateringen.
Klicka på nedladdningslänken i Microsoft-säkerhetsbulletinen MS16-087 som motsvarar den version av Windows som du kör.
Mer information
Information om distribution av säkerhetsuppdatering
Windows Vista (alla versioner) Referenstabell
Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
| Filnamn för säkerhetsuppdateringar | För alla 32-bitarsversioner av Windows Vista som stöds: Windows6.0-KB3170455-x86.msu |
|---|---|
| För alla x64-baserade utgåvor av Windows Vista som stöds: Windows6.0-KB3170455-x64.msu |
|
| Installationsväxlar | Se Microsoft Knowledge Base-artikeln 934307 |
| Krav på omstart | I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet. |
| Information om borttagning | WUSA.exe stöder inte avinstallation av uppdateringar. Om du vill avinstallera en uppdatering som installeras av WUSA klickar du på Kontrollpanelen och sedan på Säkerhet. Under Windows Update klickar du på Visa installerade uppdateringar och väljer sedan i listan över uppdateringar. |
| Filinformation | Se Microsoft Knowledge Base-artikeln 3170455 |
| Verifiering av registernyckel | Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Windows Server 2008 (alla versioner) Referenstabell
Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
| Filnamn för säkerhetsuppdateringar | För alla 32-bitarsversioner av Windows Server 2008 som stöds: Windows6.0-KB3170455-x86.msu |
|---|---|
| För alla x64-baserade utgåvor av Windows Server 2008 som stöds: Windows6.0-KB3170455-x64.msu |
|
| För alla Itanium-baserade utgåvor av Windows Server 2008 som stöds: Windows6.0-KB3170455-ia64.msu |
|
| Installationsväxlar | Se Microsoft Knowledge Base-artikeln 934307 |
| Krav på omstart | I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet. |
| Information om borttagning | WUSA.exe stöder inte avinstallation av uppdateringar. Om du vill avinstallera en uppdatering som installeras av WUSA klickar du på Kontrollpanelen och sedan på Säkerhet. Under Windows Update klickar du på Visa installerade uppdateringar och väljer sedan i listan över uppdateringar. |
| Filinformation | Se Microsoft Knowledge Base-artikeln 3170455 |
| Verifiering av registernyckel | Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Windows 7 (alla versioner) Referenstabell
Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
| Filnamn för säkerhetsuppdatering | För alla 32-bitarsversioner av Windows 7 som stöds: Windows6.1-KB3170455-x86.msu |
|---|---|
| För alla x64-baserade utgåvor av Windows 7 som stöds: Windows6.1-KB3170455-x64.msu |
|
| Installationsväxlar | Se Microsoft Knowledge Base-artikeln 934307 |
| Krav på omstart | I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet. |
| Information om borttagning | För att avinstallera en uppdatering som installeras av WUSA, använd installationsväxeln /Uninstall eller klicka på Kontrollpanelen, klicka på System och säkerhet, klicka på Windows Update, klicka på Visa installerade uppdateringar och välj sedan i listan över uppdateringar. |
| Filinformation | Se Microsoft Knowledge Base-artikeln 3170455 |
| Verifiering av registernyckel | Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Windows Server 2008 R2 (alla versioner) Referenstabell
Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
| Filnamn för säkerhetsuppdatering | För alla x64-baserade utgåvor av Windows Server 2008 R2 som stöds: Windows6.1-KB3170455-x64.msu |
|---|---|
| För alla Itanium-baserade utgåvor av Windows Server 2008 R2 som stöds: Windows6.1-KB3170455-ia64.msu |
|
| Installationsväxlar | Se Microsoft Knowledge Base-artikeln 934307 |
| Krav på omstart | I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet. |
| Information om borttagning | För att avinstallera en uppdatering som installeras av WUSA, använd installationsväxeln /Uninstall eller klicka på Kontrollpanelen, klicka på System och säkerhet, klicka på Windows Update, klicka på Visa installerade uppdateringar och välj sedan i listan över uppdateringar. |
| Filinformation | Se Microsoft Knowledge Base-artikeln 3170455 |
| Verifiering av registernyckel | Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Windows 8.1 (alla utgåvor) Referenstabell
Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
| Filnamn för säkerhetsuppdatering | För alla 32-bitarsversioner av Windows 8.1 som stöds: Windows8.1-KB3170455-x86.msu |
|---|---|
| För alla x64-baserade utgåvor av Windows 8.1 som stöds: Windows8.1-KB3170455-x64.msu |
|
| Installationsväxlar | Se Microsoft Knowledge Base-artikeln 934307 |
| Krav på omstart | I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet. |
| Information om borttagning | Om du vill avinstallera en uppdatering som installeras av WUSA använder du installationsväxeln /Uninstall eller klickar på Kontrollpanelen, klickar på System och säkerhet, klickar på Windows Update, klickar på Installerade uppdateringar under Se även och väljer sedan från listan med uppdateringar. |
| Filinformation | Se Microsoft Knowledge Base-artikeln 3170455 |
| Verifiering av registernyckel | Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Windows Server 2012 och Windows Server 2012 R2 (alla versioner) Referenstabell
Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
| Filnamn för säkerhetsuppdatering | För alla utgåvor av Windows Server 2012 som stöds: Windows8-RT-KB3170455-x64.msu |
|---|---|
| För alla utgåvor av Windows Server 2012 R2 som stöds: Windows8.1-KB3170455-x64.msu |
|
| Installationsväxlar | Se Microsoft Knowledge Base-artikeln 934307 |
| Krav på omstart | I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet. |
| Information om borttagning | Om du vill avinstallera en uppdatering som installeras av WUSA använder du installationsväxeln /Uninstall eller klickar på Kontrollpanelen, klickar på System och säkerhet, klickar på Windows Update, klickar på Installerade uppdateringar under Se även och väljer sedan från listan med uppdateringar. |
| Filinformation | Se Microsoft Knowledge Base-artikeln 3170455 |
| Verifiering av registernyckel | Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Windows RT 8.1 (alla versioner) Referenstabell
Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
| Distribution | Den här uppdateringen är endast tillgänglig via Windows Update. |
|---|---|
| Krav på omstart | I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet. |
| Information om borttagning | Klicka på Kontrollpanelen, klicka på System och säkerhet, klicka på Windows Update och klicka sedan på Installerade uppdateringar under Se även och välj från listan över uppdateringar. |
| Filinformation | Se Microsoft Knowledge Base-artikeln 3170455 |
Windows 10 (alla versioner) Referenstabell
Följande tabell innehåller information om säkerhetsuppdateringar för den här programvaran.
| Filnamn för säkerhetsuppdatering | För alla 32-bitarsversioner av Windows 10 som stöds: Windows10.0-KB3163912-x86.msu |
|---|---|
| För alla x64-baserade utgåvor av Windows 10 som stöds: Windows10.0-KB3163912-x64.msu |
|
| För alla 32-bitarsversioner av Windows 10 version 1511 som stöds: Windows10.0-KB3172985-x86.msu |
|
| För alla x64-baserade utgåvor av Windows 10 version 1511 som stöds: Windows10.0-KB3172985-x64.msu |
|
| Installationsväxlar | Se Microsoft Knowledge Base-artikeln 934307 |
| Krav på omstart | I vissa fall kräver inte den här uppdateringen en omstart. Om nödvändiga filer används kräver den här uppdateringen en omstart av systemet. Om detta inträffar får du ett meddelande om att starta om systemet. |
| Information om borttagning | Om du vill avinstallera en uppdatering som installeras av WUSA använder du installationsväxeln /Uninstall eller klickar på Kontrollpanelen, klickar på System och säkerhet, klickar på Windows Update, klickar på Installerade uppdateringar under Se även och väljer sedan från listan med uppdateringar. |
| Filinformation | Se Microsoft Knowledge Base-artikeln 3163912 Se Microsoft Knowledge Base-artikeln 3172985 |
| Verifiering av registernyckel | Obs! Det finns ingen registernyckel för att verifiera förekomsten av den här uppdateringen. |
Så här får du hjälp och support för den här säkerhetsuppdateringen
Hjälp med att installera uppdateringar: Stöd för Microsoft Update
Säkerhetslösningar för IT-proffs: TechNet Felsökning och support för säkerhet
Hjälp för att skydda din Windows-dator från virus och skadlig programvara: Viruslösning och Säkerhetscenter
Lokal support i olika länder: Internationell support