MS16-087:Windows 列印多工緩衝處理器元件的安全性更新:2016 年 7 月 12 日

結論
此安全性更新可解決 Microsoft Windows 中的弱點。如果攻擊者可在工作站或列印伺服器上執行攔截式攻擊 (MiTM),或在目標網路上設定 Rogue 列印伺服器,則該弱點較嚴重的後果可能會允許允許遠端程式碼執行。

若要深入了解該弱點,請參閱 Microsoft 資訊安全公告 MS16-087
其他相關資訊
重要
  • 安裝此安全性更新後,若要將「指向並列印」驅動程式從列印伺服器部署至用戶端,必須在 Windows 8.1 或 Windows Server 2012 R2 印表機伺服器上,套用下列 Windows 更新彙總套件:
    3000850 適用於 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 的 2014 年 11 月更新彙總套件
  • Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 未來所有的安全性與非安全性更新皆需要已安裝更新 2919355。我們建議您在 Windows RT 8.1、Windows 8.1 或 Windows Server 2012 R2 電腦上安裝更新 2919355,以便收到未來的更新。
  • 如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。如需詳細資訊,請參閱將語言套件新增到 Windows
此安全性更新的其他相關資訊
下列文章包含此安全性更新 (與個別產品版本相關) 的其他相關資訊。這些文章可能包含已知問題的資訊。

  • 3170455 MS16-087:說明 Windows 列印多工緩衝處理器元件的安全性更新:2016 年 7 月 12 日
  • 3163912 Windows 10 的累積更新:2016 年 7 月 12 日
  • 3172985 Windows 10 版本 1511 和 Windows Server 2016 Technical Preview 4 的累積更新:2016 年 7 月 12 日

已知問題

如果您正在工作環境中透過網路執行列印作業,可能會發生下列其中一個問題:
  • 您可能會收到關於安裝印表機驅動程式的警告提示,若您沒收到此通知,套用 MS16-087 後,您可能會無法安裝驅動程式。根據不同特定狀況,會有不同症狀。

    狀況 1

    若是非封裝感知 v3 印表機驅動程式,使用者嘗試連接「指向並列印」印表機時,可能會出現以下警告訊息:

    您信任這台印表機嗎?

    狀況 2

    封裝感知驅動程式必須以受信任的憑證進行簽署。此驗證程序會檢查驅動程式的所有檔案是否都已在目錄中經過雜湊。如果驗證失敗,驅動程式會被視為不可信賴。在此情況下,系統會封鎖驅動程式安裝,並顯示以下警告訊息:

    新增印表機

    狀況 3

    在非互動式的狀況下 (例如,印表機是透過自動化指令碼進行安裝),當印表機驅動程式符合情況 1 或情況 2 的描述,印表機安裝會失敗,且不會顯示任何警告訊息。

    若發生上述情況,請聯繫您的網路管理員,向印表機製造商索取更新的驅動程式。

    網路管理員指南
    • 請更新受影響的印表機驅動程式。封裝感知 V3 印表機驅動程式是 Windows Vista 所引進的產品。只要安裝封裝感知印表機驅動程式,即可解決問題。
    • 如果特定舊型印表機沒有合適的印表機驅動程式,只要在用戶端系統預先安裝問題印表機驅動程式,即可解決問題。
    若要了解關於上述情況的更多資訊,請參閱以下 Microsoft 資源:
  • 套用安全性更新 MS16-087 (KB 3170455) 後,嘗試連接至已安裝在執行 Windows 8.1 或 Windows Server 2012 R2 之系統上的受信任套件感知印表機,但您無法連接至該印表機。

    若要解決此問題,請在 Windows 8.1 或 Windows Server 2012 R2 印表機伺服器上套用下列 Windows 更新彙總套件:
    3000850 適用於 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 的 2014 年 11 月更新彙總套件

2016 年 10 月更新:已知問題的風險降低

Microsoft 已發行 2016 年 10 月更新,可讓網路管理員設定原則,允許安裝其認為安全的列印驅動程式。此更新也可讓網路管理員部署其認為安全的印表機連線。

此更新隨附於下列彙總套件中。

Windows 10 RTM KB 3192440
Windows 10 1511 KB 3192441
Windows 10 1607 KB 3194798
Windows 7 和 Windows Server 2008 R2 KB 3192403
Windows Server 2012 KB 3192406
Windows 8.1 和 Windows Server 2012 R2 KB 3192404

設定群組原則以新增列印伺服器至允許清單

  1. 按一下 [開始],再按一下 [執行]
  2. 輸入 gpedit.msc,然後按一下 [確定]
  3. 展開 [電腦設定],然後展開 [系統管理範本]
  4. 按一下 [印表機]
  5. 按兩下 [指向並列印限制],然後選取 [啟用] 選項。
  6. 選取 [選項] 下方的 [使用者只能指向並列印到這些伺服器] 核取方塊,然後在文字方塊中輸入完整格式的伺服器名稱,並以分號分隔。
  7. [安全性提示] 下方,選取 [安裝新連線的驅動程式時][更新現有連線的驅動程式時] 清單中的 [不顯示警告或提高權限提示]
  8. 按一下 [套用],然後按一下 [確定]
  9. [印表機] 原則頁面中,按兩下 [封裝指向並列印 - 核淮的伺服器]
  10. 選取 [啟用] 選項。
  11. [選項] 下方,按一下 [顯示]
  12. 每列輸入一個完整格式的伺服器名稱。
  13. 按一下 [確定]
  14. 按一下 [套用],然後按一下 [確定]
  15. 如果使用獨立用戶端,請重新啟動該用戶端,然後檢查上述原則是否生效。
  16. 如果使用網域原則,請將群組原則推展至網域用戶端,然後檢查上述原則是否生效。
注意:啟用這些群組原則後,您必須將所有印表機伺服器新增至 [指向並列印限制] 清單及 [封裝指向並列印 - 核淮的伺服器] 清單。不論有無套件感知,都應該這樣做。

2016 年 10 月更新常見問題集

  • 問:是否應解除安裝先前的更新?
    答:否。先前的更新可修復弱點。2016 年 10 月更新降低了風險,讓網路管理員可安裝其認為安全的驅動程式。
  • 問:即使已安裝 2016 年10 月更新,並設定群組原則,但我嘗試安裝本機印表機時,仍顯示「您信任此印表機嗎」訊息。為什麼會這樣呢?
    答:此降低風險動作是針對網路印表機而非本機印表機,因此可預期會有此行為。

    注意:如果您確實收到「您信任此印表機嗎」訊息,請在安裝本機印表機前,使用受信任的套件感知驅動程式取代目前的驅動程式,或將驅動程式檔案安裝至本機驅動程式存放區。如需詳細資訊,請參閱網路管理員指南一節。
如何取得並安裝更新

方法 1:Windows Update

可透過 Windows Update 取得此更新。開啟自動更新時,會自動下載和安裝此更新。如需如何開啟自動更新的詳細資訊,請參閱自動取得安全性更新

注意若為 Windows RT 8.1,只能透過 Windows Update 取得此更新。

方法 2:Microsoft 下載中心

您可以透過 Microsoft 下載中心取得獨立更新套件。請依照下載頁面的安裝指示來安裝更新。

按一下 Microsoft 資訊安全公告 MS16-087 中與所執行的 Windows 版本對應的下載連結。
其他相關資訊

安全性更新部署資訊

Windows Vista (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有支援的 32 位元版本 Windows Vista:
Windows6.0-KB3170455-x86.msu
適用於所有支援的 Windows Vista x64 版本:
Windows6.0-KB3170455-x64.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求在某些情況下,此更新不需要重新啟動系統。如果您正在使用所需的檔案,則此更新將需要系統重新啟動。如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。
移除資訊WUSA.exe 不支援更新的解除安裝。若要解除安裝由 WUSA 安裝的更新,請按一下 [控制台],然後按一下 [安全性]。在 [Windows Update] 下,按一下 [檢視已安裝的更新],然後從更新清單中選取更新。
檔案資訊請參閱 Microsoft 知識庫文章編號 3170455
登錄機碼驗證注意登錄機碼不存在,無法驗證此更新是否存在。

Windows Server 2008 (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有支援的 32 位元版本 Windows Server 2008:
Windows6.0-KB3170455-x86.msu
適用於所有支援的 x64 版本 Windows Server 2008:
Windows6.0-KB3170455-x64.msu
適用於所有支援的 Itanium 版本 Windows Server 2008:
Windows6.0-KB3170455-ia64.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求在某些情況下,此更新不需要重新啟動系統。如果您正在使用所需的檔案,則此更新將需要系統重新啟動。如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。
移除資訊WUSA.exe 不支援更新的解除安裝。若要解除安裝由 WUSA 安裝的更新,請按一下 [控制台],然後按一下 [安全性]。在 [Windows Update] 下,按一下 [檢視已安裝的更新],然後從更新清單中選取更新。
檔案資訊請參閱 Microsoft 知識庫文章編號 3170455
登錄機碼驗證注意登錄機碼不存在,無法驗證此更新是否存在。

Windows 7 (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有支援的 32 位元版本 Windows 7:
Windows6.1-KB3170455-x86.msu
適用於所有支援的 x64 版本 Windows 7:
Windows6.1-KB3170455-x64.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求在某些情況下,此更新不需要重新啟動系統。如果您正在使用所需的檔案,則此更新將需要系統重新啟動。如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。
移除資訊若要解除安裝由 WUSA 所安裝的更新,請使用 /Uninstall 安裝程式參數,或依序按一下 [控制台][系統及安全性][Windows Update] 以及 [檢視已安裝的更新],然後從更新清單中選取。
檔案資訊請參閱 Microsoft 知識庫文章編號 3170455
登錄機碼驗證注意登錄機碼不存在,無法驗證此更新是否存在。

Windows Server 2008 R2 (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有受支援之 x64 版本的 Windows Server 2008 R2:
Windows6.1-KB3170455-x64.msu
適用於所有受支援之 Itanium 版本的 Windows Server 2008 R2:
Windows6.1-KB3170455-ia64.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求在某些情況下,此更新不需要重新啟動系統。如果您正在使用所需的檔案,則此更新將需要系統重新啟動。如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。
移除資訊若要解除安裝由 WUSA 所安裝的更新,請使用 /Uninstall 安裝程式參數,或依序按一下 [控制台][系統及安全性][Windows Update] 以及 [檢視已安裝的更新],然後從更新清單中選取。
檔案資訊請參閱 Microsoft 知識庫文章編號 3170455
登錄機碼驗證注意登錄機碼不存在,無法驗證此更新是否存在。

Windows 8.1 (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有支援的 32 位元版本 Windows 8.1:
Windows8.1-KB3170455-x86.msu
適用於所有支援的 x64 版本 Windows 8.1:
Windows8.1-KB3170455-x64.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求在某些情況下,此更新不需要重新啟動系統。如果您正在使用所需的檔案,則此更新將需要系統重新啟動。如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。
移除資訊如果要解除安裝由 WUSA 所安裝的更新,請使用 /Uninstall 安裝程式參數,或依序按一下 [控制台][系統及安全性][Windows Update],按一下 [另請參閱] 下方的 [已安裝的更新],然後從更新的清單中選取。
檔案資訊請參閱 Microsoft 知識庫文章編號 3170455
登錄機碼驗證注意登錄機碼不存在,無法驗證此更新是否存在。

Windows Server 2012 和 Windows Server 2012 R2 (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有受支援的 Windows Server 2012 版本:
Windows8-RT-KB3170455-x64.msu
適用於所有支援的 Windows Server 2012 R2 版本:
Windows8.1-KB3170455-x64.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求在某些情況下,此更新不需要重新啟動系統。如果您正在使用所需的檔案,則此更新將需要系統重新啟動。如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。
移除資訊如果要解除安裝由 WUSA 所安裝的更新,請使用 /Uninstall 安裝程式參數,或依序按一下 [控制台][系統及安全性][Windows Update],按一下 [另請參閱] 下方的 [已安裝的更新],然後從更新的清單中選取。
檔案資訊請參閱 Microsoft 知識庫文章編號 3170455
登錄機碼驗證注意登錄機碼不存在,無法驗證此更新是否存在。

Windows RT 8.1 (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

部署更新僅透過 Windows Update 提供。
重新啟動需求在某些情況下,此更新不需要重新啟動系統。如果您正在使用所需的檔案,則此更新將需要系統重新啟動。如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。
移除資訊依序按一下 [控制台][系統及安全性][Windows Update],然後在 [另請參閱] 下,按一下 [已安裝的更新],並從更新清單中選取更新。
檔案資訊請參閱 Microsoft 知識庫文章編號 3170455

Windows 10 (所有版本)

參考資料表

下表包含此軟體的安全性更新資訊。

安全性更新檔案名稱適用於所有支援的 32 位元版本 Windows 10:
Windows10.0-KB3163912-x86.msu
適用於所有支援的 x64 版本 Windows 10:
Windows10.0-KB3163912-x64.msu
適用於所有支援的 32 位元版本 Windows 10 版本 1511:
Windows10.0-KB3172985-x86.msu
適用於所有支援的 x64 版本 Windows 10 版本 1511:
Windows10.0-KB3172985-x64.msu
安裝參數請參閱 Microsoft 知識庫文章編號 934307
重新啟動需求在某些情況下,此更新不需要重新啟動系統。如果您正在使用所需的檔案,則此更新將需要系統重新啟動。如果發生這種情況,您就會收到建議您將電腦重新開機的訊息。
移除資訊如果要解除安裝由 WUSA 所安裝的更新,請使用 /Uninstall 安裝程式參數,或依序按一下 [控制台][系統及安全性][Windows Update],按一下 [另請參閱] 下方的 [已安裝的更新],然後從更新的清單中選取。
檔案資訊請參閱 Microsoft 知識庫文章編號 3163912
請參閱 Microsoft 知識庫文章編號 3172985
登錄機碼驗證注意登錄機碼不存在,無法驗證此更新是否存在。

如何取得此安全性更新的說明及支援

安裝更新的說明:Microsoft Update 支援

適用於 IT 專業人員的資訊安全解決方案:TechNet 安全性疑難排解與支援

保護您的 Windows 電腦免於受到病毒和惡意程式碼攻擊:病毒解決方案與資訊安全中心

您所在國家/地區的當地支援:多語系支援
惡意攻擊程式利用
內容

文章識別碼:3170005 - 最後檢閱時間:10/27/2016 11:20:00 - 修訂: 6.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability KB3170005
意見反應