Windows 10.0.10586.104 (TH2)更新修正內容 - Windows

Windows 10.0.10586.104 (TH2)更新修正內容
好讀版本：https://www.ptt.cc/bbs/Windows/M.1455288044.A.87D.html

※更新前作業系統：Windows 10 專業版 [10.0.10586.0] (TH2)
2015年最後更新至KB3124200調整為 [10.0.10586.36] (CU6)
2016年首度發行KB3124263調整更新 [10.0.10586.63] (CU7)
於01月27日更新至KB3124262調整為 [10.0.10586.71] (CU8)
※更新後作業系統：微軟於02月12日發行KB3135173更新 [10.0.10586.104] (CU9)

※更新實紀

各位板友大家好
微軟官方於今年二度修補安全性更新，雖漏洞比上次較輕微，但是數量卻是十分
多，推出新的組建版本為現在組建版本[10.0.10586.104]，修正這些弱點，建議
立即更新以解決可能的資訊洩漏及記憶體損毀弱點問題，避免許多遠端攻擊者進
行零時差攻擊(Zero-day attack)，而可能產生之系統資訊損失。
[10.0.10586.104]為目前TH2更新版本，ISO檔仍為[10.0.10586.0](安裝時會更新)
原先版本
http://imgur.com/ydSjvr8
更新後新版本
http://imgur.com/ziICf3C
更新版本列表
http://imgur.com/OwkteGM

●Windows官方說明及更新內容

[10.0.10586.104]
Windows 10 版本 1511 的累積更新：2016 年 2 月 9 日
https://support.microsoft.com/zh-tw/kb/3135173
改變檔案清單3135173.csv
下載網址：https://goo.gl/mnLCFA
原網址：https://download.microsoft.com/download/9/1/9/919D0276-D52C-4E3B-
ABA2-024C04672F8F/3135173.csv

●Windows官方於KB3135173所包含改善之資訊安全公告

1.MS16-009-重大 (KB3134220)
Internet Explorer 累積安全性更新，防止攻擊者於遠端透過使用者執行程式碼
時，取得與目前使用者相同的使用者權限，並進一步影響系統控制權，此更新可
以解決Internet Explorer 處理記憶體中物件、OLE 在程式庫載入上驗證輸入、
剖析 HTTP 回應及確保正確強制執行跨網域原則等方式弱點，透過修補弱點以提
升系統安全性。
同時此更新在其餘之前的作業系統(Vista~8.1)也適用此更新，弱點在此不列出

https://technet.microsoft.com/zh-TW/library/security/ms16-009.aspx
https://support.microsoft.com/zh-tw/kb/3134220

-弱點資訊-

(1)DLL 載入遠端程式碼執行弱點
CVE-2016-0041-重要/遠端執行程式碼
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0041

(2)Internet Explorer 資訊洩漏弱點
CVE-2016-0059-重要/資訊洩漏
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0059

(3)Microsoft 瀏覽器及Internet Explorer記憶體損毀弱點
CVE-2016-0060-重大/遠端執行程式碼
CVE-2016-0061-重大/遠端執行程式碼
CVE-2016-0062-重大/遠端執行程式碼
CVE-2016-0063-重大/遠端執行程式碼
CVE-2016-0067-重大/遠端執行程式碼
CVE-2016-0072-重大/遠端執行程式碼
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0060
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0061
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0062
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0063
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0067
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0072

(4)Microsoft 瀏覽器詐騙弱點
CVE-2016-0077-中度/瀏覽器詐騙
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0077

(5)Internet Explorer 權限提高弱點
CVE-2016-0068-重要/權限提高
CVE-2016-0069-重要/權限提高
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0068
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0069

2.MS16-011-重大 (KB3134225)
Microsoft Edge 累積安全性更新，防止攻擊者於遠端透過使用者執行程式碼時
，取得與目前使用者相同的使用者權限，並進一步影響系統控制權，此更新可
以解決Microsoft Edge 處理記憶體中物件、剖析 HTTP 回應及適當地實作ASLR
資訊安全功能等方式弱點，透過修補弱點以提升系統安全性。

https://technet.microsoft.com/zh-TW/library/security/ms16-011.aspx
https://support.microsoft.com/zh-tw/kb/3134225

-弱點資訊-

(1)Microsoft 瀏覽器詐騙弱點
CVE-2016-0077-中度/瀏覽器詐騙
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0077

(2)Microsoft Edge ASLR 略過弱點
CVE-2016-0080-重要/資訊安全功能略過
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0080

(3)Microsoft Edge 記憶體損毀弱點
CVE-2016-0060-重大/遠端執行程式碼
CVE-2016-0061-重大/遠端執行程式碼
CVE-2016-0062-重大/遠端執行程式碼
CVE-2016-0084-重大/遠端執行程式碼
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0060
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0061
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0062
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0084

3.MS16-013-重大 (KB3134811)
用來解決遠端執行程式碼的 Windows 筆記本安全性更新，防止攻擊者於遠端透
過使用者使用筆記本檔案時，執行程式碼並取得與目前使用者相同的使用者權限
，並進一步影響系統控制權，此更新可以解決Windows 筆記本記憶體損毀弱點，
透過修補弱點以提升系統安全性。
同時此更新在其餘之前的作業系統(Vista~8.1)也適用此更新，弱點在此不列出

https://technet.microsoft.com/zh-TW/library/security/ms16-013.aspx
https://support.microsoft.com/zh-tw/kb/3134811

-弱點資訊-

Windows 筆記本記憶體損毀弱點
CVE-2016-0038-重大/遠端執行程式碼
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0038

4.MS16-014-重要 (KB3134228)
用來解決Windows 核心的弱點安全性更新，防止攻擊者可以登入目標系統並執
行蓄意製作的應用程式，進而允許攻擊者於遠端執行程式碼，此更新可以修正
Windows 核心處理記憶體中物件、Windows 在載入 DLL檔案之前驗證輸入、
Microsoft Sync Framework 驗證輸入及新增其他驗證檢查等方式弱點，透過
修補弱點以提升系統安全性。
同時此更新在其餘之前的作業系統(Vista~8.1)也適用此更新，弱點在此不列出

https://technet.microsoft.com/zh-TW/library/security/ms16-014.aspx
https://support.microsoft.com/zh-tw/kb/3134228

-弱點資訊-

(1)Windows DLL 載入遠端程式碼執行弱點
CVE-2016-0041-重要/遠端執行程式碼
CVE-2016-0042-重要/遠端執行程式碼
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0041
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0042

(2)Windows Kerberos 資訊安全功能略過
CVE-2016-0049-重要/資訊安全功能略過
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0049

5.MS16-016-重要 (KB3136041)
用來解決權限提高的 WebDAV 安全性更新，修正攻擊者使用 Microsoft 網頁分工
編寫及版本管理 (WebDAV) 用戶端傳送蓄意製作的輸入至伺服器時，允許權限提
高弱點，透過修補弱點以提升系統安全性。
同時此更新在其餘之前的作業系統(Vista~8.1)也適用此更新，弱點在此不列出

https://technet.microsoft.com/zh-TW/library/security/ms16-016.aspx
https://support.microsoft.com/zh-tw/kb/3136041

-弱點資訊-

WebDAV 權限提高弱點
CVE-2016-0051-中度/阻斷服務 (DoS)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0051

6.MS16-018-重要 (KB3136082)
用來解決權限提高的 Windows 核心模式驅動程式安全性更新，防止攻擊者可以
登入目標系統並執行蓄意製作的應用程式時，進而允許權限提高弱點，透過修
補弱點以提升系統安全性。
同時此更新在其餘之前的作業系統(Vista~8.1)也適用此更新，弱點在此不列出

https://technet.microsoft.com/zh-TW/library/security/ms16-018.aspx
https://support.microsoft.com/zh-tw/kb/3136082

-弱點資訊-

Win32k 權限提高弱點
CVE-2016-0048-重要/權限提高
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0048

7.MS16-021-重要 (KB3133043)
用來解決阻斷服務的 NPS RADIUS 伺服器安全性更新，防止攻擊者可以傳送蓄意
製作的使用者名稱字串值至網路原則伺服器 (NPS)，進而阻止 NPS 上的 RADIUS
驗證時，造成 NPS 上的阻斷服務弱點，透過修補弱點以提升系統安全性。

https://technet.microsoft.com/zh-TW/library/security/ms16-021.aspx
https://support.microsoft.com/zh-tw/kb/3133043

-弱點資訊-

網路原則伺服器 RADIUS 實施阻斷服務弱點
CVE-2016-0050-重要/阻斷服務 (DoS)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0050

8.MS16-022-重要 (KB3137893)
用來解決Microsoft.NET Framework 中地址阻斷服務弱點安全性更新，防止攻擊者
可以透過於使用者XML 網頁組件中插入蓄意製作製作的 XSLT程式，造成伺服器阻斷
服務攻擊 (Dos)弱點，透過修補弱點以提升系統安全性。
同時此更新在其餘之前的作業系統(Vista~8.1)也適用此更新，弱點在此不列出

https://technet.microsoft.com/zh-TW/library/security/ms16-022.aspx
https://support.microsoft.com/zh-tw/kb/3137893

-弱點資訊-

(1).NET Framework堆疊溢位阻斷服務弱點
CVE-2016-0033-重要/阻斷服務 (DoS)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0033

(2)Windows Forms 資訊洩漏弱點
CVE-2016-0047-重要/資訊洩漏
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0047

本次更新為微軟第二次例行性大規模的漏洞補強，不只是Win 10系統，其他尚有在
支援週期的系統也強烈建議更新，雖然此次弱點所產生之可能的資訊洩漏問題，與
記憶體損毀弱點，和允許遠端執行惡意程式碼，比上一次被公開揭露嚴重程度較輕
微，但多項弱點累積起來還是很驚人，盡快更新補強弱點也是資安考量必須的，建
議立即更新以降低系統安全性風險。

前版修訂內容
Win 10.0.10586 (TH2)更新心得及新增功能整理
#1MJWAfB4 (Windows) https://www.ptt.cc/bbs/Windows/M.1447953065.A.2C4.html
去年Win 10.0.10586 (CU1~CU6)更新修正內容
#1MTjuvYz (Windows) https://www.ptt.cc/bbs/Windows/M.1450630713.A.8BD.html
今年首度Win 10.0.10586 (CU7)安全性更新修正內容
#1MczFfm- (Windows) https://www.ptt.cc/bbs/Windows/M.1453052905.A.C3E.html
今年首度Win 10.0.10586 (CU8)功能上更新修正內容
#1MgamZLl (Windows) https://www.ptt.cc/bbs/Windows/M.1454001187.A.56F.html

--

--