MS15-116:针对 Microsoft Office 解决远程执行代码问题的安全更新:2015 年 11 月 10 日

适用于: Word 2016Visio Professional 2016Visio Standard 2016

概要


此安全更新解决了 Microsoft Office 中的一个漏洞。若要了解有关该漏洞的详细信息,请参阅 Microsoft 安全公告 MS15-116

注意 若要应用此安全更新,必须在计算机上安装2007 Microsoft Office 套件 Service Pack 3 的发行版。应用此安全更新后,将看到一个弹出窗口,显示网站想要以内核模式在 Internet Explorer 中打开 Web 内容。请参阅更改 Internet Explorer 与 Microsoft Office 应用程序功能的交互方式的更新 ,了解更多信息。

有关此安全更新的更多信息


下列文章包含此安全更新针对具体产品版本的更多信息。这些文章可能包含已知问题信息。

此安全更新中包括的与安全无关的修补程序和改进

  • 通过引入一个新的强制类型图像来更新 setSelectedDataAsync 的 Word 外接程序 API。通过这个新的图像类型,setSelectedDataAsync 可以在选定的位置插入图片。应以 Base64 编码字符串的形式提供该图像。
  • 通过向某些对象添加更多的属性和方法来改进新的 Word API 功能。
  • 改进了 PowerPoint 2016 中复制和粘贴幻灯片母版和幻灯片版式的稳定性。
  • 改进了 PowerPoint 2016 中合著功能的稳定性。
  • 将两个新的外接程序 API 添加在 CustomXmlNode:getTextAsyncsetTextAsync 的下方。这两个新的 API 还提供了一种方法,可在节点没有文本值时,将一个文本值添加到内置的 CustomXmlNode 对象中。
  • 改进了您在选择幻灯片放映视图的监视器首选项时,PowerPoint 2013 的工作稳定性。
  • 您执行了更新链接操作后,PowerPoint 2013 将保存文档链接。
  • 将插入图片 API 添加到适用于 Word 2013、Excel 2013 和 PowerPoint 2013 的 Office 外接程序中。
  • 在 HTTP 请求期间,如果有一个代理失败,能将故障转移到多个代理。
  • 改进了 Outlook 2013 中对身份验证消息的翻译。
  • 此更新还包括针对以下非安全问题的修复:
    • 当您将 .doc 文档保存为 .docx 格式,或编辑和保存 .docx 文档,然后关闭后在 Word 2016 中重新打开这个文档时,如果隐藏的表内容已被表样式格式化,却意外出现了隐藏表在文档中可见的情况。
    • 使用 IME 在启用改写模式的 Word 2016 文档中键入字符时,如果 Microsoft Office IME 2016 禁用文字服务,将不显示不确定的字符。
    • 当您在 Word 2016 中编辑使用对称缩进的文档时,文本略微有些随机跳动的现象。在这种情况下,如果存在打包的形状或图片,则有些文本可能无法按预期正常显示或打印。
    • 如果在 Word 2016 中将第一个批注气泡标记为已完成,则当您选择一个批注气泡时,Word 2016 可能会出现故障。
    • 如果子像素定位无法在 Word 2016 中使用,则光标定位可能是不正确的,并且文本可能会意外出现跳动。各种系统和 Word 选项可能会关闭 Word 2016 中的子像素定位。这包括一些 ClearType 和远程桌面选项。
    • 当您在 Word 2016 中编辑某一行时,您可能会看到一个不正确的换行符。(例如,换行符可能出现在一个单词的中间或空格之前。)
    • 当您尝试在 Word 2016 中保存包含超链接的大型文档时,“另存为”对话框显示。但是您无法保存文件。此外,您会一直循环回“另存为”对话框直至您取消保存操作。该问题会在 AutoCorrect 功能自动更正一个单词后出现。
    • 当您在 Word 2016 中打开一个(例如,通过使用 OpenXML 操作)删除了 ActiveX 控件的 .docm 文档时,您会收到类似于以下内容的错误消息:
      不能退出设计模式,因为无法创建控件“<控件名称>”。
      这是因为该 ActiveX 控件的状态仍然存在于应用程序的 Visual Basic 中。
    • 当您在 Word 2016 中运行一个使用 TransformDocument 方法将文档转换为不同的 XML 格式的宏时,如果文档的页眉或页脚中有一个文本框,则 Word 2016 会发生故障。
    • 当您在 Outlook 2013 的一个新电子邮件窗口中粘贴文本时,该文本不完全显示。如果文本行大于窗口的高度,就会出现此问题。
    • 假设您在 Outlook 2013 中的“签名和母本文档”对话框中编辑您的电子邮件签名时,您同时也在使用屏幕阅读器,并且您的电子邮件签名中有多个段落。在这种情况下,屏幕阅读器仅读取签名的第一段。
    • 您从文档检查器中删除个人信息后,Word 2016 中的实时协作会话可能会丢失数据。
    • 当您在 Word 2016 中编辑具有高级字体功能的文本或使用复杂的脚本时,Word 2016 可能会发生故障。
    • 当您使用 Visio 2016 保存一个包含在 Visio 2010 中创建的 SolutionXML 元素的 .vdx 文件时,会丢失 SolutionXML 元素。
    • 当您尝试在 Visio 2016 中保存一个大型 .vsd 文件时,Visio 2016 发生故障,并且该文件没有被保存。
    • 当您在 Visio 2016 中打开一个 .vsdx 文件时,系统会删除所有母板实例的形状数据部分中的重命名行。
    • 当您尝试通过使用 Microsoft SQL Server 驱动程序创建一个组织结构图时,您会在组织结构图向导中收到以下错误消息:
      无效数据。您的数据文件是空的。
    • 当您在 PowerPoint 2016 中将幻灯片从一个演示文稿复制和粘贴到另一个演示文稿时,幻灯片中的形状超链接不会更新。
    • 当您从幻灯片放映视图切换至演示者视图,然后在 PowerPoint 2016 的普通视图中向幻灯片中输入一些文本时,该文本将缓慢地添加在演示者视图中,而不会添加在普通视图中。完成所有文本的输入后,文本会立即出现在普通视图中。
    • 您退出 PowerPoint 2016 之后,系统不保留从 UNC 共享文件夹打开的临时文件版本。
    • 您无法在 PowerPoint 2016 中使用 Shapes.PasteSpecial 方法来粘贴 ppPasteShape 类型的形状。
    • 当您在 Office 2016 应用程序中打开一个包含属于新图表类型(树状图、旭日图、直方图、箱形图、排列图或瀑布图)的一个图表的文档时,该图表的图像会显示在 PowerPoint 2016 和 Word 2016 中。在 Excel 2016 中,会显示一个含有消息的边界框,而不是显示该图表。

      注意若要了解详细信息,请参阅在 Office 2016 应用程序中显示图表的图像或一个含有消息的边界框
    • 当您在 OneNote 2016 中使用“仅保留文本”或“保留源格式”粘贴选项粘贴来自 Word 2016 或 Outlook 2016 的内容时,粘贴内容是空白的。
    • 当您在 Microsoft Surface Pro 3 的 OneNote 2016 中记录一段视频时,预览窗口是空白的。
    • 当您通过使用发送到 OneNote 2016 打印机来打印到 OneNote 2016 时,在其他版本的 OneNote 中打印输出显示为一个红色的 X。
    • 微型工具栏上的某些命令显示为黑色。
    • 假设您在 Office 2016 应用程序中使用“共享”窗格。当您在 Office 2016 应用程序中打开或关闭一些文件时,应用程序可能会崩溃。

    • 改变一些匹配工具提示的关键提示,避免与功能区上的其他适用于多语言告知功能的关键提示发生冲突。




    • 当您从云打开文件时,防止 Office 2016 应用程序发生间歇性故障。
    • Excel 2016 中的“数据”选项卡的“获取和转换”中出现有关导入和转换功能的问题。若要了解更多信息,请参阅文章 3108701
    • 在 Office 2016 应用程序中显示图表的图像或一个含有消息的边界框
    • 假设已将其他 Office 2016 应用程序设置为深灰色主题。当在 Access 2016 中单击“选项”面板上的“确定”时,主题设置将意外更改为彩色主题,这是因为 Access 不支持深灰色。因此,Office 的其余部分被切换到彩色主题。
    • 运行在安全模式下的 Office 应用程序在白色主题中运行。在某些情况下(如添加或删除显示器),在安全模式下启动的 Office 2016 应用程序会在视觉上变得不一致而难以阅读文本,除非重新启动该应用程序。应用程序的部分内容将暂时切换到彩色主题。
    • 微型工具栏上的某些命令显示为黑色。
    • 如果是第一次在 Excel 2016 中更改缩放滑块级别,此更改不会波及到画布。
    • 您在长时间使用 Office 2016 应用程序后,该应用程序 UI 不进行更新将变得无法使用。发生此问题的原因在于 GDI 泄漏打破了由 Windows 对每个进程施加的 10,000 GDI 对象限制。

      注意将“GDI 对象”列添加在任务管理器中时,会出现此问题。

    • 改变一些匹配工具提示的关键提示,避免与功能区上的其他适用于多语言告知功能的关键提示发生冲突。




    • 改进了以深灰色和彩色主题表现的“格式文本效果”对话框的视觉外观。
    • 改进了以深灰色主题表现的“签名”任务窗格的可读性。
    • 如果 Excel 2016 加载了网络位置中的外接程序,则图表无法插入到其他 Office 应用程序,例如 Microsoft Word 或 Microsoft PowerPoint。
    • 如果工作簿中包含其他应用程序的嵌入图表,Excel 2016 可能会崩溃。
    • 当您在 Excel 2016 中在高对比度模式下重命名 Excel 工作表时,在重命名过程完成前将无法看到该名称。
    • 在 Office 2016 应用程序中显示图表的图像或一个含有消息的边界框
    • 将插入图片 API 添加到适用于 Microsoft Word 2016、Microsoft Excel 2016 和 Microsoft PowerPoint 2016 应用程序的 Office 外接程序中。

    • VBA 库名称(Microsoft Office 15.0 Access 数据库引擎对象库和 Microsoft Access 15.0 对象库)没有更新为体现 Access 2016 的名称。此更新更改了 Access 对象库的版本号。

    • 在 Access 2016 中复制、粘贴,或导入窗体和报表后,现有的主题颜色属性设置会被更改。
    • 添加新的塞尔维亚语区域设置 (sr-latn-rs),以取代现有的区域设置 (sr-latn-cs)。这种变化增加了在此区域设置中使 Access 2016 能够与 Microsoft SharePoint 列表协同工作。
    • 设置完 OverrideDisableAllActiveX 组策略设置后,您不能在 Access 2010 中运行受信任的 WebBrowser ActiveX 控件或导入向导,即使您设置了 DisableAllActiveX 组策略设置。此外,您在导入向导中会收到以下错误消息:
      此控件中没有对象。


      注意 DisableAllActiveX 注册表项位于以下路径:
      HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\Common\Security
    • 假设您有一个文档,它的组合框内容控件被链接至 Word 2013 中一个文档的自定义 XML 部件上。您选择了其中一个控件的值,然后执行撤消和保存操作,一些内容控件的类型将从组合框更改为富格式文本,并且缺少到自定义 XML 部件节点的映射。
    • 当您使用某些字体向 Word 2013 的一个文档中输入一个不间断的连字符时,将显示一个方形,而不是一个不间断的连字符。
    • 不可转发”业务栏信息字符串会被裁剪,在某些非英语版本的 Outlook 2013 中无法全部显示。
    • 假设您有一个带有脚注和手动和自动分页符的 Word 2013 文档。您将“编号”设置为“脚注和尾注”对话框中的“每页重新编号”。当您在后台打印文档时,打印输出中的脚注页码将连续编号而不是每页重新编号。
    • 当您在 Excel 2013 中对包含 1,020 多行内容的数据透视表中按列进行排序时,数据无法进行排序。
    • 在 PowerPoint 2013 中退出演示文稿的幻灯片放映后,拓扑保持扩展状态,但不会变为重复。
    • 当您在 PowerPoint 2013 中以编程方式复制和粘贴形状时,没有按预期正确粘贴形状。例如,形状可能出现在不正确的幻灯片上,或其他形状可能以意想不到的格式出现。
    • 由于重定向的 URL 未经验证,所以有可能会以不易察觉的方式将您重定向到在 redirect_uri 参数中设置的 URL。
    • 当用鼠标右键单击图表,然后选择“移动图表”将包含替代文本的图表移动到不同的工作表时,为该图表定义的替代文本会消失。
    • 当您在 Excel 2013 中对包含 1,020 多行内容的数据透视表中按列进行排序时,数据无法进行排序。
    • 数据验证列表的文本条目被 Excel 2013 中从右到左排列的工作表中的一个意想不到的黑色矩形所遮盖。
    • 您在 Excel 2013 中调用一些对象模型(Range.NumberFormat、Range.HasFormula、Range.HasArray)后,公式栏不起作用。
    • 当您将 SharePoint 列表链接到 Access 应用程序时,会收到以下错误消息:
      在尝试与服务器进行通信时,客户端发生错误。
    • 设置完 OverrideDisableAllActiveX 组策略设置后,您不能在 Access 2010 中运行受信任的 WebBrowser ActiveX 控件或导入向导,即使您设置了 DisableAllActiveX 组策略设置。此外,您在导入向导中会收到以下错误消息:
      此控件中没有对象。
      在以下注册表项下设置组策略:
      HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\Common\Security
    • 当您在基于 Windows 10 的计算机上的 Word 2010 中打开或编辑带有复选框的文档时,这些文档可能可能出现错误的布局。
    • 当您在主项目的插入项摘要任务中查看实际“完成百分比”字段时,其中的值并不总是反映子项目中的项目摘要任务上的同一个值。此外,如果您打开主项目,而子项目不在内存中,则实际的“% 值”将显示为“0%”
    • 当您在 Excel 2010 中的工作簿中选择一个由组合框的建议列表提供的建议项目时,没有按预期在组合框中选择所选的建议项目。
    • 设置完 OverrideDisableAllActiveX 组策略设置后,您不能在 Access 2010 中运行受信任的 WebBrowser ActiveX 控件或导入向导,即使您设置了 DisableAllActiveX 组策略设置。此外,您在导入向导中会收到以下错误消息:
      此控件中没有对象。
      您应用 2015 年 3 月 10 日发布的 Access 2010 更新程序 (KB2837601) 后,会出现此问题。在以下注册表项下设置组策略:
      HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\Common\Security
    • 当您在 Outlook 2013 中遇到某些 HTTP 错误(如超时错误)时,Outlook 2013 可能无法连接到邮件服务器。
    • 当您在 Excel 2013 中的工作簿中选择一个由组合框的建议列表提供的建议项目时,没有按预期在组合框中选择所选的建议项目。
    • 已删除“文件”菜单上“信息”窗格下的文件的“共享对象”列表。若要查看将您的文件与谁共享,请前往“文件”菜单上的“共享”窗格。
    • 如果您有一个内部网连接,但没有 Internet 连接,您就无法签入或签出 SharePoint Server 2013 中的文档。
    • 当您尝试回复或转发包含链接图像的电子邮件时,在显示该图像之前 Outlook 2013 将冻结。
    • 即使您成功地输入您的凭据,Office 应用也会不断提示您输入凭据。
    • 当您在 Outlook 2013 中使用 MAPI over HTTP 传输协议时,您可能会遇到反复尝试重新连接的情况,这是因为没有注意 X-PendingPeriod 头字段。

      注意如要修复此问题,请随 2015 年 11 月 10 日发布的 Outlook 2013 更新程序 (KB3101488) 一起安装此更新程序。若要了解详细信息,请参阅 KB3101355
    • 对用户名和密码工作流的 Web 服务信任语言 (WS-Trust) 支持发生故障。
    • 您安装 2015 年 10 月 13 日发布的 Office 2013 更新程序 (KB3085566) 后,无法使用 OneDrive for Business 客户端来同步文件,您将收到“需要凭证”或“请输入您的凭据”错误,并且没有选项可让您输入凭据。
    • 如果外接程序所需的从属 .dll 文件不是位于 Office 15 或 Windows\System32 文件夹中,就不能加载自定义外接程序 (.vsl) 文件。
    • 假设您将 Visio 2013 演示文稿以 HTML 格式进行保存,然后在 Internet Explorer 中查看它。当您搜索文本,然后单击搜索文本的搜索结果列表中的项时,该项在绘图中不显示所带的箭头。
    • 将状态更新应用到项目计划中之后,某些作业的实际工作分布图会意外地在不同的时间段显示零个实际工时值。
    • 假设您在 Project Professional 中显示超链接字段。针对某个任务,您在超链接字段中输入指向存储在 SharePoint 网站上的文档地址,然后单击该链接。有时在这种情况下,您将被重定向到存储该文档的根网站,而不是已打开的文档。
    • 假设您有一个包含一个或多个子任务的摘要任务。您将这个摘要任务变为非摘要任务(通过减少缩进所有子任务或删除所有子任务)。在这种情况下,可能对指定持续时间格式(分钟、小时、天、周或月)的任务的内部属性的设置有错误。因此,当您发布项目时,报表数据不准确,给定任务的持续时间也不正确。
    • 当您对文本类型字段(如任务名称)使用自动筛选器,并且该字段中的值是多种多样的时候,Project 2013 可能会崩溃。
    • 在某些情况下,任务的“完成百分比”显示“99%”,即使任务的所有作业上显示的“工作完成百分比”为“100%”
    • 当 Project Server 上存在共享相同名称的企业资源和用户帐户时,从 Project Professional 2013 保存到 SharePoint 任务列表有可能失败。
    • 当将项目保存回服务器时,收到以下错误消息:
      Project Web App 无法找到指定的资源。

    • 在导入和合并来自外部资源(例如 Excel 工作簿)的数据后,仅更新任务的第一个作业。

更多信息