此安全更新可解决MicrosoftWindows中一个秘密报告的漏洞。如果登录用户访问设计为通过InternetExplorer调用MicrosoftXMLCoreServices(MSXML)的特制网站，该漏洞可能允许信息泄露。但是在所有情况下，攻击者无法强制用户访问此类网站。相反，攻击者必须诱使用户访问一个网站，方法通常是让用户单击电子邮件或InstantMessenger请求中的链接以使用户链接到攻击者的网站。

　　对于MicrosoftWindows客户端的受影响版本上的MicrosoftXMLCoreServices3.0和MicrosoftXMLCoreServices6.0，此安全更新的等级为“重要”；对于MicrosoftWindows服务器的受影响版本，此安全更新的等级为“低”。有关详细信息，请参阅下面的“受影响和不受影响的软件”部分。

　　该安全更新通过修改MicrosoftXMLCoreServices强制实施用户访问控制的方式来解决漏洞。有关漏洞的详细信息，请参阅本公告后面特定漏洞的“常见问题(FAQ)”小节。

　　建议。大多数客户均启用了自动更新，他们不必采取任何操作，因为此安全更新将自动下载并安装。尚未启用“自动更新”的客户必须检查更新，并手动安装此更新。有关自动更新中特定配置选项的信息，请参阅Microsoft知识库文章294871。

　　对于管理员、企业安装或者想要手动安装此安全更新的最终用户，Microsoft建议客户使用更新管理软件尽早应用此更新或者利用MicrosoftUpdate服务检查更新。

　　另请参阅本公告后面部分中的“检测和部署工具及指导”一节。

　　知识库文章知识库文章：2966061文件信息：是SHA1/SHA2哈希：是已知问题：无更新常见问题

　　针对Windows8.1和WindowsServer2012R2列出了多个更新。我是否需要安装所有更新？

　　否。根据您的系统配置为接收更新的方式，仅适用于Windows8.1或WindowsServer2012R2的给定版本的其中一个更新适用。

　　对于运行Windows8.1或WindowsServer2012R2的系统：

　　2939576更新适用于已安装2919355更新的系统。2966631更新适用于未安装2919355更新的系统。请注意，2966631更新仅适用于使用WindowsServerUpdateServices(WSUS)、WindowsIntune或SystemCenterConfigurationManager管理更新的客户。

　　我的系统上安装了哪个MicrosoftXMLCoreServices版本？

　　MicrosoftXMLCoreServices的一些版本随MicrosoftWindows附带提供；而有些版本随来自Microsoft或第三方供应商的非操作系统软件一起安装。一些也作为单独下载提供。下表显示MicrosoftWindows的受影响版本附带的MSXML受影响版本以及与其他Microsoft或第三方软件一起安装的版本。

　　什么是MicrosoftXMLCoreServices(MSXML)？

　　MicrosoftXMLCoreServices(MSXML)允许使用JScript、VisualBasicScriptingEdition(VBScript)和MicrosoftVisualStudio6.0的客户开发可与其他遵循XML1.0标准的应用程序进行互操作的基于XML的应用程序。有关详细信息，请参阅MSDN文章MSXML。

　　我正在使用本安全公告中讨论的软件的较旧版本。我该怎么办？

　　已对本公告中列出的受影响的软件进行测试，以确定受到影响的版本。其他版本的支持生命周期已结束。有关产品生命周期的详细信息，请参阅Microsoft产品技术支持生命周期网站。

　　使用该软件的较旧版本的客户应优先考虑迁移到受支持的版本，以防止可能会受到新出现漏洞的影响。要确定您的软件版本的技术支持生命周期，请参阅选择一项产品以获取生命周期信息。有关这些软件版本的ServicePack的详细信息，请参阅ServicePack生命周期支持策略。

　　如果用户需要获得较旧软件的定制支持，则必须与其Microsoft客服小组代表、其技术客户经理或适当的Microsoft合作伙伴代表联系以了解定制支持选项。没有优先支持合同或授权合同的客户可与其当地的Microsoft销售分支机构联系。有关联系信息，请参阅MicrosoftWorldwideInformation网站，在联系信息列表中选择国家/地区，然后单击“Go”以查看电话号码列表。在拨打电话时，请找当地的“企业技术咨询支持服务”销售经理进行洽谈。有关详细信息，请参阅Microsoft技术支持生命周期策略常见问题。

　　MSXML实体URI漏洞-CVE-2014-1816

　　MicrosoftWindows分析XML内容的方式中存在一个信息泄露漏洞。该漏洞可能允许攻击者访问他们无权访问的信息。

　　要在“常见漏洞和披露”列表中以标准条目查看此漏洞，请参阅CVE-2014-1816。

　　缓解因素

　　缓解是指一种设置、通用配置或者一般的最佳实践，它以默认状态存在，能够降低利用漏洞的严重性。以下缓解因素在您遇到的情形中可能会有所帮助：

　　在基于Web的攻击情形中，攻击者可能通过托管设计为通过InternetExplorer调用MSXML的特制网站来利用漏洞。这可能还包括受到破坏的网站以及接受或托管用户提供的内容或广告的网站。这些网站可能包含可以利用此漏洞的特制内容。但是在所有情况下，攻击者无法强制用户访问此类网站。相反，攻击者必须诱使用户访问该网站，方法通常是让用户单击电子邮件或InstantMessenger请求中的链接以使用户链接到攻击者的网站。默认情况下，WindowsServer2003、WindowsServer2008、WindowsServer2008R2、WindowsServer2012和WindowsServer2012R2上的InternetExplorer在一种称为“增强安全配置”的受限模式下运行。此模式可减轻此漏洞。有关InternetExplorer增强安全配置的详细信息，请参阅此漏洞的“常见问题解答”部分。变通办法

　　变通办法是指一种设置或配置更改，它不能从根本上纠正漏洞，但有助于在应用更新之前封堵已知的攻击源。Microsoft已测试了以下变通方法，并在讨论中指明了变通方法是否会降低功能性：

　　组织MSXML3.0二进制行在InternetExplorer中使用

　　您可以通过在注册表中为行为设置killbit来禁止尝试在InternetExplorer中使用特定二进制行为。

　　警告如果不正确地使用注册表编辑器，可能导致严重的问题，或许需要您重新安装操作系统。Microsoft不保证您可以解决因错误运用注册表编辑器而产生的问题。使用注册表编辑器的风险由您自己承担。

　　常见问题

　　这些漏洞的影响范围有多大？

　　这是一个信息泄露漏洞。

　　造成此漏洞的原因是什么？

　　当MicrosoftXMLCoreServices(MSXML)分析XML内容并且未正确强制实施用户访问控制时，会导致该漏洞。

　　哪个组件受此漏洞的影响？

　　该漏洞影响MicrosoftXMLCoreServices(MSXML)，它允许使用JScript、VisualBasicScriptingEdition(VBScript)和MicrosoftVisualStudio6.0的客户开发可与其他遵循XML1.0标准的应用程序进行互操作的基于XML的应用程序。有关详细信息，请参阅Microsoft开发人员网络文章MSXML。

　　什么是MicrosoftXMLCoreServices(MSXML)？

　　MicrosoftXMLCoreServices(MSXML)允许使用JScript、VisualBasicScriptingEdition(VBScript)和MicrosoftVisualStudio6.0的客户开发可与其他遵循XML1.0标准的应用程序进行互操作的基于XML的应用程序。有关详细信息，请参阅MSDN文章MSXML。

　　攻击者可能利用此漏洞执行什么操作？

　　成功利用此漏洞的攻击者可以从本地系统中获得用户的个人信息。

　　攻击者如何利用此漏洞？

　　攻击者可能通过宿主设计为通过InternetExplorer调用MSXML的特制网站来利用该漏洞。这可能还包括受到破坏的网站以及接受或托管用户提供的内容或广告的网站。这些网站可能包含可以利用此漏洞的特制内容。但是在所有情况下，攻击者无法强制用户访问此类网站。相反，攻击者必须诱使用户访问一个网站，方法通常是让用户单击电子邮件或InstantMessenger请求中的链接以使用户链接到攻击者的网站。它还可能使用横幅广告或其他方式显示特制的Web内容，以便将Web内容传递至受影响的系统。

　　使用MSXML库分析XML的非MicrosoftWeb应用程序和服务也可能容易遭受此攻击。

　　受此漏洞威胁最大的系统有哪些？

　　要利用此漏洞执行任何恶意操作，需要用户登录并访问网站。因此，任何频繁使用InternetExplorer的系统（如工作站或终端服务器）受此漏洞的威胁最大。

　　我当前在WindowsServer2003、WindowsServer2008、WindowsServer2008R2、WindowsServer2012或WindowsServer2012R2上运行InternetExplorer。这是否会缓解此漏洞的影响？

　　是。默认情况下，WindowsServer2003、WindowsServer2008、WindowsServer2008R2、WindowsServer2012和WindowsServer2012R2上的InternetExplorer在一种称为“增强安全配置”的受限模式下运行。增强安全配置是一组预先配置好的InternetExplorer设置，可以减小用户或管理员在服务器上下载并运行特制Web内容的可能性。此缓解因素适用于未被添加到InternetExplorer“受信任的站点”区域的网站。

　　此更新有什么作用？

　　该更新通过修改MicrosoftXMLCoreServices强制实施用户访问控制的方式来解决漏洞。

　　发布此安全公告时，此漏洞是否已公开披露？

　　否。Microsoft通过协调漏洞披露渠道了解到有关此漏洞的信息。

　　发布此安全公告时，Microsoft是否收到任何有关此漏洞已被利用的报告？

　　否。在最初发布此安全公告时，Microsoft未收到任何表明此漏洞已公开用于攻击用户的信息。

　　检测和部署工具及指导

　　许多资源可帮助管理员部署安全更新。

　　管理员可使用MicrosoftBaselineSecurityAnalyzer(MBSA)在本地和远程系统中扫描缺少的安全更新和常见的安全配置错误。WindowsServerUpdateServices(WSUS)、SystemsManagementServer(SMS)和SystemCenterConfigurationManager帮助管理员分发安全更新。ApplicationCompatibilityToolkit随附的更新兼容性评估程序组件针对安装的应用程序协助简化Windows更新的测试和验证。

　　有关可用的这些工具和其他工具的信息，请参阅IT专业人员安全工具。

　　鸣谢

　　Microsoft感谢下列人员或组织与我们一起致力于保护客户的利益：

　　ChristianKulenkampff报告了MSXML实体URI漏洞(CVE-2014-1816)其他信息MicrosoftActiveProtectionsProgram(MAPP)

　　为改进客户的安全保护，Microsoft在发布每月安全更新之前将向主要的安全软件供应商提供漏洞信息。然后，安全软件供应商可以使用该漏洞信息通过其安全软件或者设备向客户提供更新的保护，例如防病毒、基于网络的入侵检测系统或者基于主机的入侵防止系统。要确定是否可从安全软件供应商处得到活动保护，请转到计划合作伙伴（在MicrosoftActiveProtectionsProgram(MAPP)合作伙伴中列出）提供的活动保护网站。

　　支持

　　如何获取此安全更新的帮助和支持

　　有关安装更新的帮助：MicrosoftUpdate支持面向IT专业人员的安全解决方案：TechNet安全故障排除和支持帮助保护运行Windows的计算机免遭病毒和恶意软件攻击：病毒解决方案和安全中心本地支持（根据您的国家/地区）：国际支持免责声明

　　Microsoft知识库中的信息“按原样”提供，没有任何形式的担保。Microsoft不作任何明示或暗示保证，包括对适销性和针对特定目的的适用性的保证。MicrosoftCorporation或其供应商不对任何损害（包括直接的、间接的、偶然的、必然的损害，商业利润损失，或特殊损害）承担任何责任，即使MicrosoftCorporation或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任，因此上述限制可能不适用。