MS16-087:Windows 列印多工緩衝處理器元件的安全性更新:2016 年 7 月 12 日

結論

此安全性更新可解決 Microsoft Windows 中的弱點。如果攻擊者可在工作站或列印伺服器上執行攔截式攻擊 (MiTM),或在目標網路上設定 Rogue 列印伺服器,則該弱點較嚴重的後果可能會允許允許遠端程式碼執行。


若要深入了解該弱點,請參閱 Microsoft 資訊安全公告 MS16-087

其他相關資訊

重要
  • 安裝此安全性更新後,若要將「指向並列印」驅動程式從列印伺服器部署至用戶端,必須在 Windows 8.1 或 Windows Server 2012 R2 印表機伺服器上,套用下列 Windows 更新彙總套件:
    3000850 適用於 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 的 2014 年 11 月更新彙總套件
  • Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 未來所有的安全性與非安全性更新皆需要已安裝更新 2919355。我們建議您在 Windows RT 8.1、Windows 8.1 或 Windows Server 2012 R2 電腦上安裝更新 2919355,以便收到未來的更新。
  • 如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。如需詳細資訊,請參閱將語言套件新增到 Windows

此安全性更新的其他相關資訊

下列文章包含此安全性更新 (與個別產品版本相關) 的其他相關資訊。這些文章可能包含已知問題的資訊。

  • 3170455 MS16-087:說明 Windows 列印多工緩衝處理器元件的安全性更新:2016 年 7 月 12 日
  • 3163912 Windows 10 的累積更新:2016 年 7 月 12 日
  • 3172985 Windows 10 版本 1511 和 Windows Server 2016 Technical Preview 4 的累積更新:2016 年 7 月 12 日

已知問題

如果您正在工作環境中透過網路執行列印作業,可能會發生下列其中一個問題:
  • 您可能會收到關於安裝印表機驅動程式的警告提示,若您沒收到此通知,套用 MS16-087 後,您可能會無法安裝驅動程式。根據不同特定狀況,會有不同症狀。

    狀況 1

    若是非封裝感知 v3 印表機驅動程式,使用者嘗試連接「指向並列印」印表機時,可能會出現以下警告訊息:

    您信任這台印表機嗎?

    狀況 2

    封裝感知驅動程式必須以受信任的憑證進行簽署。此驗證程序會檢查驅動程式的所有檔案是否都已在目錄中經過雜湊。如果驗證失敗,驅動程式會被視為不可信賴。在此情況下,系統會封鎖驅動程式安裝,並顯示以下警告訊息:

    新增印表機

    狀況 3

    在非互動式的狀況下 (例如,印表機是透過自動化指令碼進行安裝),當印表機驅動程式符合情況 1 或情況 2 的描述,印表機安裝會失敗,且不會顯示任何警告訊息。

    若發生上述情況,請聯繫您的網路管理員,向印表機製造商索取更新的驅動程式。

    網路管理員指南
    • 請更新受影響的印表機驅動程式。封裝感知 V3 印表機驅動程式是 Windows Vista 所引進的產品。只要安裝封裝感知印表機驅動程式,即可解決問題。
    • 如果特定舊型印表機沒有合適的印表機驅動程式,只要在用戶端系統預先安裝問題印表機驅動程式,即可解決問題。
    若要了解關於上述情況的更多資訊,請參閱以下 Microsoft 資源:

  • 套用安全性更新 MS16-087 (KB 3170455 ) 後,嘗試連接至已安裝在執行 Windows 8.1 或 Windows Server 2012 R2 之系統上的受信任套件感知印表機,但您無法連接至該印表機。

    若要解決此問題,請在 Windows 8.1 或 Windows Server 2012 R2 印表機伺服器上套用下列 Windows 更新彙總套件:
    3000850 適用於 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 的 2014 年 11 月更新彙總套件

2016 年 10 月更新:已知問題的風險降低

Microsoft 已發行 2016 年 10 月更新,可讓網路管理員設定原則,允許安裝其認為安全的列印驅動程式。此更新也可讓網路管理員部署其認為安全的印表機連線。

此更新隨附於下列彙總套件中。


Windows 10 RTM KB 3192440
Windows 10 1511 KB 3192441
Windows 10 1607 KB 3194798
Windows 7 和 Windows Server 2008 R2 KB 3192403
Windows Server 2012 KB 3192406
Windows 8.1 和 Windows Server 2012 R2 KB 3192404

設定群組原則以新增列印伺服器至允許清單

  1. 按一下 [開始],再按一下 [執行]
  2. 輸入 gpedit.msc,然後按一下 [確定]
  3. 展開 [電腦設定],然後展開 [系統管理範本]
  4. 按一下 [印表機]
  5. 按兩下 [指向並列印限制],然後選取 [啟用] 選項。
  6. 選取 [選項] 下方的 [使用者只能指向並列印到這些伺服器] 核取方塊,然後在文字方塊中輸入完整格式的伺服器名稱,並以分號分隔。
  7. [安全性提示] 下方,選取 [安裝新連線的驅動程式時][更新現有連線的驅動程式時] 清單中的 [不顯示警告或提高權限提示]
  8. 按一下 [套用],然後按一下 [確定]
  9. [印表機] 原則頁面中,按兩下 [封裝指向並列印 - 核淮的伺服器]
  10. 選取 [啟用] 選項。
  11. [選項] 下方,按一下 [顯示]
  12. 每列輸入一個完整格式的伺服器名稱。
  13. 按一下 [確定]
  14. 按一下 [套用],然後按一下 [確定]
  15. 如果使用獨立用戶端,請重新啟動該用戶端,然後檢查上述原則是否生效。
  16. 如果使用網域原則,請將群組原則推展至網域用戶端,然後檢查上述原則是否生效。
注意:啟用這些群組原則後,您必須將所有印表機伺服器新增至 [指向並列印限制] 清單及 [封裝指向並列印 - 核淮的伺服器] 清單。不論有無套件感知,都應該這樣做。

2016 年 10 月更新常見問題集

  • 問:是否應解除安裝先前的更新?
    答:否。先前的更新可修復弱點。2016 年 10 月更新降低了風險,讓網路管理員可安裝其認為安全的驅動程式。
  • 問:即使已安裝 2016 年10 月更新,並設定群組原則,但我嘗試安裝本機印表機時,仍顯示「您信任此印表機嗎」訊息。為什麼會這樣呢?
    答:此降低風險動作是針對網路印表機而非本機印表機,因此可預期會有此行為。


    注意:如果您確實收到「您信任此印表機嗎」訊息,請在安裝本機印表機前,使用受信任的套件感知驅動程式取代目前的驅動程式,或將驅動程式檔案安裝至本機驅動程式存放區。如需詳細資訊,請參閱網路管理員指南一節。

如何取得並安裝更新

方法 1:Windows Update

可透過 Windows Update 取得此更新。開啟自動更新時,會自動下載和安裝此更新。如需如何開啟自動更新的詳細資訊,請參閱自動取得安全性更新

注意若為 Windows RT 8.1,只能透過 Windows Update 取得此更新。
方法 2:Microsoft 下載中心

其他相關資訊

安全性更新部署資訊
如何取得此安全性更新的說明及支援
內容

文章識別碼:3170005 - 最後檢閱時間:2016年10月27日 - 修訂: 1

意見反應