注意事項
此安全性更新於 2017 年 9 月 12 日重新發行,旨在更新適用於 CVE-2016-3238 的更新 3170455 中的已知問題。
Microsoft 已針對目前支援的 Microsoft Windows 版本提供下列更新。 如需詳細資訊,請移至下列 Microsoft 知識庫文章:
-
重新發行適用於 Windows Server 2008 的更新 3170455
-
適用於 Windows 7 及 Windows Server 2008 R2 的每月彙總套件 4038777 和安全性更新 4038779
-
適用於 Windows 8.1 與 Windows Server 2012 R2 的每月彙總套件 4038792 與安全性更新 4038793
-
適用於 Windows 10 的累積更新 4038781
-
適用於 Windows 10 1511 版的累積更新 4038781
-
適用於 Windows 10 1607 版及 Windows Server 2016 的累積更新 4038782
Microsoft 建議執行 Windows Server 2008 的客戶重新安裝更新 3170455。 Microsoft 建議執行其他 Windows 支援版本的客戶安裝適用的更新。 如需詳細資訊,請移至 Microsoft 知識庫文章 3170455:
MS16-087 重新發行版本中包含的其他變更
-
新增了事件記錄,以幫助確定印表機驅動程式安裝錯誤的原因
之前,客戶瞭解驅動程式無法通過實作為 MS16-087 一部份的新限制檢查的原因的唯一方式是收集 ETW 記錄檔,然後傳送至 Microsoft 進行分析。
我們新增了將失敗原因記錄到事件記錄器的功能,所以客戶現在可以自己調查驅動程式失敗的根本原因。
將記錄的資訊:
1. 如果驅動程式不是套件感知或未正確簽署,將記錄以下訊息:
MSG_CSRSPL_UNTRUSTED_DRIVER: 「列印多工緩衝處理器為驅動程式 <driverName> 下載套件失敗。 錯誤碼 = <errorCodeFromListBelow> 驅動程式封鎖,可能存在潛在竄改。 」
2. 如果驅動程式無法使用提供的目錄驗證簽章,將記錄以下訊息:
VALIDATEDRVINFO_FAILED:「在 VALIDATINGDRVINFO 中,新增印表機驅動程式 <driverName> 失敗,錯誤碼 <errorCodeFromListBelow>。
可能錯誤碼:
|
代碼 |
意義 |
|
0x800F0243L |
發行者不受信任 |
|
0x800F024BL |
雜湊不在目錄中 |
|
0x800F022FL |
無 OEM INF 目錄 |
|
0x800F023FL |
無 Authenticode 目錄 |
|
0x800F0240L |
Authenticode 已禁止 |
|
0x800F0249L |
一般「驅動程式安裝已封鎖」 |
摘要
此安全性更新可解決 Microsoft Windows 中的弱點。 若攻擊者能夠對工作站或列印伺服器執行攔截式攻擊 (MiTM),或在目標網路中設定一個惡意列印伺服器,則較嚴重的弱點可能會允許遠端執行程式碼。
若要深入了解弱點,請參閱 Microsoft 資訊安全佈告欄 MS16-087。
其他相關資訊
重要事項
-
安裝此安全性更新後,若要將「指向並列印」驅動程式從列印伺服器部署至用戶端,必須在 Windows 8.1 或 Windows Server 2012 R2 印表機伺服器上,套用下列 Windows 更新彙總套件:
3000850 適用於 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 的 2014 年 11 月更新彙總套件
-
Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 日後所有的安全性與非安全性更新皆需要安裝更新 2919355。 我們建議您在 Windows RT 8.1、Windows 8.1 或 Windows Server 2012 R2 電腦上安裝更新 2919355,以便收到日後的更新。
-
如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。 因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。 如需詳細資訊,請參閱將語言套件新增到 Windows (英文)。
此安全性更新的其他相關資訊
下列文章包含此安全性更新 (與個別產品版本相關) 的其他資訊。 這些文章可能包含已知問題的資訊。
-
3170455 MS16-087: 說明 Windows 列印多工緩衝處理器元件的安全性更新: 2016 年 7 月 12 日
-
3163912 Windows 10 累積更新: 2016 年 7 月 12 日
-
3172985 Windows 10 版本 1511 和 Windows Server 2016 Technical Preview 4 的累積更新: 2016 年 7 月 12 日
已知問題
如果您正在工作環境中透過網路執行列印作業,可能會發生下列其中一個問題:
-
您可能會收到關於安裝印表機驅動程式的警告提示,若您沒收到此通知,套用 MS16-087 後,您可能會無法安裝驅動程式。 根據不同特定狀況,會有不同症狀。
情況 1 若是非封裝感知 v3 印表機驅動程式,使用者嘗試連接「指向並列印」印表機時,可能會出現以下警告訊息:
情況 2 封裝感知驅動程式必須以受信任的憑證進行簽署。 此驗證程序會檢查驅動程式的所有檔案是否都已在目錄中經過雜湊。 如果驗證失敗,驅動程式會被視為不可信賴。 在此情況下,系統會封鎖驅動程式安裝,並顯示以下警告訊息:
情況 3 在非互動式的狀況下 (例如,印表機是透過自動化指令碼進行安裝),當印表機驅動程式符合情況 1 或情況 2 的描述,印表機安裝會失敗,且不會顯示任何警告訊息。
若發生上述情況,請連絡您的網路系統管理員,向印表機製造商索取更新的驅動程式。
網路系統管理員的指引:-
請更新受影響的印表機驅動程式。 封裝感知 V3 印表機驅動程式是 Windows Vista 所引進的產品。 只要安裝封裝感知印表機驅動程式,即可解決問題。
-
如果特定舊型印表機沒有合適的印表機驅動程式,只要在用戶端系統預先安裝問題印表機驅動程式,即可解決問題。
若要了解關於上述情況的更多資訊,請參閱以下 Microsoft 資源:
-
-
套用安全性更新 MS16-087 (KB 3170455) 後,嘗試連接至已安裝在執行 Windows 8.1 或 Windows Server 2012 R2 之系統上的受信任套件感知印表機,但您無法連接至該印表機。
要解決此問題,請在 Windows 8.1 或 Windows Server 2012 R2 印表機伺服器上套用下列 Windows 更新彙總套件:3000850 適用於 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 的 2014 年 11 月更新彙總套件
2016 年 10 月更新: 已知問題的風險降低
Microsoft 已發行 2016 年 10 月更新,可讓網路管理員設定原則,允許安裝其認為安全的列印驅動程式。 此更新也可讓網路管理員部署其認為安全的印表機連線。
此更新隨附於下列彙總套件中。
|
Windows 10 RTM |
|
|
Windows 10 1511 |
|
|
Windows 10 1607 |
|
|
Windows 7 和 Windows Server 2008 R2 |
|
|
Windows Server 2012 |
|
|
Windows 8.1 和 Windows Server 2012 R2 |
設定群組原則以新增列印伺服器至允許清單
-
按一下 [開始],然後按一下 [執行]。
-
輸入 gpedit.msc,然後按一下 [確定]。
-
展開 [電腦設定],然後展開 [系統管理範本]。
-
按一下 [印表機]。
-
按兩下 [指向並列印限制],然後選取 [啟用] 選項。
-
選取 [選項] 下方的 [使用者只能指向並列印到這些伺服器] 核取方塊,然後在文字方塊中輸入完整格式的伺服器名稱,並以分號分隔。
-
在安全性提示下,將其設定如下:
-
[安裝新連線的驅動程式時:] [顯示警告及提高權限提示]。
-
[更新現有連線的驅動程式時:] [顯示警告及提高權限提示]。
-
-
按一下 [套用],然後按一下 [確定]。
-
在 [印表機] 原則頁面中,按兩下 [封裝指向並列印 - 核淮的伺服器]。
-
選取 [啟用] 選項。
-
在 [選項] 下方,按一下 [顯示]。
-
每列輸入一個完整格式的伺服器名稱。
-
按一下 [確定]。
-
按一下 [套用],然後按一下 [確定]。
-
如果使用獨立用戶端,請重新啟動該用戶端,然後檢查上述原則是否生效。
-
如果使用網域原則,請將群組原則推展至網域用戶端,然後檢查上述原則是否生效。
注意:啟用這些群組原則後,您必須將所有印表機伺服器新增至 [指向並列印限制] 清單及 [封裝指向並列印 - 核淮的伺服器] 清單。 不論有無套件感知,都應該這樣做。
2016 年 10 月更新常見問題集
-
問:是否應解除安裝先前的更新?
答:否。 先前的更新可修復弱點。 2016 年 10 月更新降低了風險,讓網路管理員可安裝其認為安全的驅動程式。 -
問:即使已安裝 2016 年10 月更新,並設定群組原則,但我嘗試安裝本機印表機時,仍顯示「您信任此印表機嗎」訊息。 為什麼會這樣呢?
答:此風險降低動作是針對網路印表機而非本機印表機,因此這是正常的行為。
注意 如果您確實收到「您信任此印表機嗎」訊息,請在安裝本機印表機前,使用受信任的套件感知驅動程式取代目前的驅動程式,或將驅動程式檔案安裝至本機驅動程式存放區。 如需詳細資訊,請參閱網路管理員指南一節。
如何取得並安裝更新
方法 1:Windows Update
此更新可透過 Windows Update 取得。 開啟自動更新時,會自動下載和安裝此更新。 如需有關如何開啟自動更新的詳細資訊,請參閱自動取得安全性更新。
附註 若為 Windows RT 8.1,只能透過 Windows Update 取得此更新。
您可以透過 Microsoft 下載中心取得獨立更新套件。 請依照下載頁面的安裝指示來安裝更新。
按一下 Microsoft 資訊安全佈告欄 MS16-087 中與所執行的 Windows 版本對應的下載連結。
其他相關資訊
Windows Vista (所有版本) 參考資料表
下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有支援的 32 位元版本 Windows Vista: |
|
適用於所有支援的 x64 型版本 Windows Vista: |
|
|
安裝參數 |
|
|
重新啟動需求 |
在某些情況下,此更新不需要重新啟動系統。 如果您正在使用所需的檔案,則此更新將需要系統重新啟動。 如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。 |
|
移除資訊 |
WUSA.exe 不支援更新的解除安裝。 若要解除安裝由 WUSA 安裝的更新,請按一下 [控制台],然後按一下 [安全性]。 在 [Windows Update] 下,按一下 [檢視已安裝的更新],然後從更新清單中選取更新。 |
|
檔案資訊 |
|
|
登錄機碼驗證 |
注意:登錄機碼不存在,無法驗證此更新是否存在。 |
Windows Server 2008 (所有版本) 參考資料表
下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有支援的 32 位元版本 Windows Server 2008: |
|
適用於所有支援的 x64 型版本 Windows Server 2008: |
|
|
適用於所有支援的 Itanium 型版本 Windows Server 2008: |
|
|
安裝參數 |
|
|
重新啟動需求 |
在某些情況下,此更新不需要重新啟動系統。 如果您正在使用所需的檔案,則此更新將需要系統重新啟動。 如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。 |
|
移除資訊 |
WUSA.exe 不支援更新的解除安裝。 若要解除安裝由 WUSA 安裝的更新,請按一下 [控制台],然後按一下 [安全性]。 在 [Windows Update] 下,按一下 [檢視已安裝的更新],然後從更新清單中選取更新。 |
|
檔案資訊 |
|
|
登錄機碼驗證 |
注意:登錄機碼不存在,無法驗證此更新是否存在。 |
Windows 7 (所有版本) 參考資料表
下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有支援的 32 位元版本 Windows 7: |
|
適用於所有支援的 x64 型版本 Windows 7: |
|
|
安裝參數 |
|
|
重新啟動需求 |
在某些情況下,此更新不需要重新啟動系統。 如果您正在使用所需的檔案,則此更新將需要系統重新啟動。 如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。 |
|
移除資訊 |
若要解除安裝由 WUSA 所安裝的更新,請使用 /Uninstall 安裝程式參數,或依序按一下 [控制台]、[系統及安全性]、[Windows Update] 以及 [檢視已安裝的更新],然後從更新清單中選取。 |
|
檔案資訊 |
|
|
登錄機碼驗證 |
注意:登錄機碼不存在,無法驗證此更新是否存在。 |
Windows Server 2008 R2 (所有版本) 參考資料表
下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有支援的 x64 型版本 Windows Server 2008 R2: |
|
適用於所有支援的 Itanium 型版本 Windows Server 2008 R2: |
|
|
安裝參數 |
|
|
重新啟動需求 |
在某些情況下,此更新不需要重新啟動系統。 如果您正在使用所需的檔案,則此更新將需要系統重新啟動。 如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。 |
|
移除資訊 |
若要解除安裝由 WUSA 所安裝的更新,請使用 /Uninstall 安裝程式參數,或依序按一下 [控制台]、[系統及安全性]、[Windows Update] 以及 [檢視已安裝的更新],然後從更新清單中選取。 |
|
檔案資訊 |
|
|
登錄機碼驗證 |
注意:登錄機碼不存在,無法驗證此更新是否存在。 |
Windows 8.1 (所有版本) 參考資料表
下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有支援的 32 位元版本 Windows 8.1: |
|
適用於所有支援的 x64 型版本 Windows 8.1: |
|
|
安裝參數 |
|
|
重新啟動需求 |
在某些情況下,此更新不需要重新啟動系統。 如果您正在使用所需的檔案,則此更新將需要系統重新啟動。 如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。 |
|
移除資訊 |
如果要解除安裝由 WUSA 所安裝的更新,請使用 /Uninstall 安裝程式參數,或依序按一下 [控制台]、[系統及安全性]、[Windows Update],按一下 [另請參閱] 下方的 [已安裝的更新],然後從更新的清單中選取。 |
|
檔案資訊 |
|
|
登錄機碼驗證 |
注意:登錄機碼不存在,無法驗證此更新是否存在。 |
Windows Server 2012 與 Windows Server 2012 R2 (所有版本) 參考資料表
下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有支援的 Windows Server 2012 版本: |
|
適用於所有支援的 Windows Server 2012 R2 版本: |
|
|
安裝參數 |
|
|
重新啟動需求 |
在某些情況下,此更新不需要重新啟動系統。 如果您正在使用所需的檔案,則此更新將需要系統重新啟動。 如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。 |
|
移除資訊 |
如果要解除安裝由 WUSA 所安裝的更新,請使用 /Uninstall 安裝程式參數,或依序按一下 [控制台]、[系統及安全性]、[Windows Update],按一下 [另請參閱] 下方的 [已安裝的更新],然後從更新的清單中選取。 |
|
檔案資訊 |
|
|
登錄機碼驗證 |
注意:登錄機碼不存在,無法驗證此更新是否存在。 |
Windows RT 8.1 (所有版本) 參考資料表
下表包含此軟體的安全性更新資訊。
|
部署 |
更新僅透過 Windows Update 提供。 |
|
重新啟動需求 |
在某些情況下,此更新不需要重新啟動系統。 如果您正在使用所需的檔案,則此更新將需要系統重新啟動。 如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。 |
|
移除資訊 |
依序按一下 [控制台]、[系統及安全性]、[Windows Update],然後在 [另請參閱] 下,按一下 [已安裝的更新],並從更新清單中選取更新。 |
|
檔案資訊 |
Windows 10 (所有版本) 參考資料表
下表包含此軟體的安全性更新資訊。
|
安全性更新檔案名稱 |
適用於所有支援的 32 位元版本 Windows 10: |
|
適用於所有支援的 x64 型版本 Windows 10: |
|
|
適用於所有支援的 32 位元版本 Windows 10 版本 1511: |
|
|
適用於所有支援的 x64 型版本 Windows 10 版本 1511: |
|
|
安裝參數 |
|
|
重新啟動需求 |
在某些情況下,此更新不需要重新啟動系統。 如果您正在使用所需的檔案,則此更新將需要系統重新啟動。 如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。 |
|
移除資訊 |
如果要解除安裝由 WUSA 所安裝的更新,請使用 /Uninstall 安裝程式參數,或依序按一下 [控制台]、[系統及安全性]、[Windows Update],按一下 [另請參閱] 下方的 [已安裝的更新],然後從更新的清單中選取。 |
|
檔案資訊 |
|
|
登錄機碼驗證 |
注意:登錄機碼不存在,無法驗證此更新是否存在。 |
安裝更新的說明:Microsoft Update 支援
適用於 IT 專業人員的安全性解決方案:TechNet 安全性疑難排解與支援
保護您的 Windows 電腦免於受到病毒和惡意程式碼攻擊:病毒解決方案與資訊安全中心
您所在國家/地區的當地支援:多語系支援
