[轉錄][公告] 微軟產品安全性警告
※ [本文轉錄自 NtuDormF8 看板]
作者: F8Net (女八網管) 看板: NtuDormF8
標題: [轉錄][公告] 微軟產品安全性警告
時間: Thu Oct 9 00:52:42 2003
※ [本文轉錄自 NTUDormM7 看板]
作者: WebM7 (男七網管專用帳號) 看板: NTUDormM7
標題: [公告] 微軟產品安全性警告
時間: Wed Oct 8 08:29:54 2003
http://cert.ntu.edu.tw
微軟安全反應中心已經發佈MS03-040資訊安全公告。這是一個關於Internet Explorer產品
的弱點。使用者應該立即安裝此補充程式。
【技服中心】
以下摘錄自
http://www.icst.org.tw/content/application/ncert/epaper/cnt-send-view.php?grpid=5&vroot=0011&cntgrp_ordinal=0011&cnt_id=3302
微軟產品安全性警告
等級:Critical
微軟資訊安全公告MS03-040
受影響產品:
* Microsoft Internet Explorer 5.01
* Microsoft Internet Explorer 5.5
* Microsoft Internet Explorer 6.0
* 使用於Windows Server 2003上的Microsoft Internet Explorer 6
說明:
微軟安全反應中心已經發佈MS03-040資訊安全公告。這是一個關於Internet Explorer產品
的弱點。系統管理員應該立即安裝此補充程式。
造成的影響:
執行攻擊者選擇的程式碼。
技術細節:
此項累積的補充程式包含所有先前發行Internet Explorer 5.01、5.5 及 6.0補充程式的
功能。 除此之外,此補充程式亦解決了以下發現的弱點:
* 這個弱點之所以發生,是因為Internet Explorer未能正確判別在跳出的視窗中來自Web
伺服器傳回的物件類型。攻擊者可能會利用此一弱點,在使用者的系統上執行任何的程式
碼。若使用者連上攻擊者的網站,儘管使用者並無任何其他動作,攻擊者仍有可能可以利
用這個弱點。攻擊者也可能會蓄意製作一封HTML電子郵件,以嘗試利用這個弱點。
* 這個弱點之所以發生,是因為Internet Explorer未能正確判別當處理XML資料連結時由
Web伺服器傳回的物件類型。攻擊者可能會利用此一弱點,在使用者的系統上執行任何的
程式碼。若使用者連上攻擊者的網站,儘管使用者並無任何其他動作,攻擊者仍有可能可
以利用這個弱點。攻擊者也可能會蓄意製作一封HTML電子郵件,以嘗試利用這個弱點。
除了這些弱點外,Internet Explorer在限制區域轉譯DHTML的方式進行了變更。 這可能
導致攻擊著利用以上其中的弱點執行Script程式碼。除此之外,攻擊者可以利用Windows
Media Player(WMP)的能力開啟URLs來建立攻擊,攻擊者也有可能會蓄意製作一封具有特
殊格式的HTML電子郵件。
為了利用這些瑕疵,攻擊者必須建立具有特別格式的HTML電子郵件,並將其傳送給使用者
。或者,攻擊者必須架設惡意的網站,並在其中包含專為利用這些弱點而設計的網頁。接
下來,攻擊者必須說服使用者拜訪該網站。
一如先前公告MS03-004, MS03-015, MS03-020和MS03-032所發佈的Internet Explorer累
積補充程式,如果尚未安裝「HTML 說明」更新,這個累積的補充程式會使
windows.showHelp()停止作用。如果已經安裝知識庫文件811630所討論的更新「HTML 說
明」控制項,在安裝這項補充程式以後,您將依然可以使用「HTML 說明」的功能。
除了安裝此補充程式外,我們建議使用者也安裝在知識庫文件828026所提及的Windows
Media Player更新。您可以在Windows Update和微軟下載中心下載支援所有Windows
Media Player版本的補充程式。 雖然不是一個安全性的補充程式,但此更新變更了
Windows Media Player開啟URLs的行為,進而保護利用以DHTML為主的攻擊。尤其它限制
Windows Media Player透過其他區域開啟本地電腦區域的URL。
需要重新開機:
是-在重新開機後,以下組合需要管理者身分的登入
* Internet Explorer 5.01 on Microsoft Windows 2000 and Microsoft Windows NT 4.0
* Internet Explorer 5.5 on Microsoft Windows 2000
補充程式是否可以解除安裝:
是
相關技術文件(Related KB Articles):
828750
資訊安全公告網站連結:
http://www.microsoft.com/technet/security/bulletin/ms03-040.asp
微軟產品資訊安全相關網站連結:
請至以下網站以獲得更多有關微軟產品最新資訊安全訊息:
英文:http://www.microsoft.com/technet/security
中文:http://www.microsoft.com/taiwan/security
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.112.250.171
推
推140.112.249.218 10/08,
推140.112.249.218 10/08
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.112.192.198
--
報告完畢
下台一鞠躬
女五網管 關心你^^
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.112.225.172