微軟 Internet Explorer 多個漏洞
風險: 中度風險
1. 未初始化的記憶體損毀漏洞
Internet Explorer 存取未正確初始化或已刪除物件的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。 當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。 如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。
2. 編碼後資訊洩漏漏洞
下列方式存在一個資訊洩漏漏洞:讓 Internet Explorer 在提交資料時使用特定的編碼字串來處理內容。 攻擊者可架設蓄意製作的網頁,當使用者瀏覽此網頁時,便會允許洩漏資訊,藉此利用此漏洞。 成功利用此漏洞的攻擊者,能夠從本機電腦,或是從其他網域或網際網路區域中的其他瀏覽器視窗,檢視內容。
3. 競爭條件記憶體損毀漏洞
Internet Explorer 存取可能因競爭條件而損毀之物件的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。 當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。 如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。
4. 未初始化的記憶體損毀漏洞
Internet Explorer 存取未正確初始化或已刪除物件的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。 當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。 如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。
5. HTML 物件記憶體損毀漏洞
Internet Explorer 存取未正確初始化或已刪除物件的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。 當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。 如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。
6. HTML 物件記憶體損毀漏洞
Internet Explorer 存取未正確初始化或已刪除物件的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。 當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。 如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。
7. HTML 元素跨網域漏洞
Internet Explorer 存在資訊洩漏漏洞,可能會允許指令碼取得其他網域或 Internet Explorer 區域內瀏覽器視窗的存取權。 攻擊者可架設蓄意製作的網頁,當使用者瀏覽此網頁,然後拖曳瀏覽器視窗至第二個瀏覽器視窗時,便會允許洩漏資訊,藉此利用此漏洞。
8. 記憶體損毀漏洞
Internet Explorer 在特定情況下管理長式 URL 的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。 當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。 如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。
9. 未初始化的記憶體損毀漏洞
Internet Explorer 存取未正確初始化或已刪除物件的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。 當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。 如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。
10. HTML 轉譯記憶體損毀漏洞
Internet Explorer 存取已刪除物件的方式中,存在遠端執行程式碼漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。 當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。 如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。
影響
- 遠端執行程式碼
- 資料洩露
受影響之系統或技術
- Internet Explorer 5.01
- Internet Explorer 6
- Internet Explorer 7
- Internet Explorer 8
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
請在這裡下載修補程式
Internet Explorer 5.01Internet Explorer 6 Service Pack 1
Internet Explorer 6
- 視窗 XP Service Pack 2 及視窗 XP Service Pack 3
- 視窗 XP Professional x64 版本 Service Pack 2
- 視窗 伺服器 2003 Service Pack 2
- 視窗 伺服器 2003 x64 版本 Service Pack 2
- 安裝在 Itanium-based 系統中的視窗伺服器 2003 SP2
Internet Explorer 7
- 視窗 XP Service Pack 2 及視窗 XP Service Pack 3
- 視窗 XP Professional x64 版本 Service Pack 2
- 視窗伺服器 2003 Service Pack 2
- 視窗伺服器 2003 x64 版本 Service Pack 2
- 安裝在 Itanium-based 系統中的視窗伺服器 2003 SP2
- 視窗 Vista, 視窗 Vista Service Pack 1, 及視窗 Vista Service Pack 2
- 視窗 Vista x64 版本, 視窗 Vista x64 版本 Service Pack 1, 及視窗 Vista x64 版本 Service Pack 2
- 適用於 32 位元系統的視窗伺服器 2008 及視窗伺服器 2008 Service Pack 2
- 適用於 64 位元系統的視窗伺服器 2008 及視窗伺服器 2008 Service Pack 2
- 安裝在 Itanium-based 系統中的視窗伺服器 2008 及視窗伺服器 2008 Service Pack 2
Internet Explorer 8
- 視窗 XP Service Pack 2 及視窗 XP Service Pack 3
- 視窗 XP Professional x64版本 Service Pack 2
- 視窗 伺服器 2003 Service Pack 2
- 視窗 伺服器 2003 x64 版本 Service Pack 2
- 視窗 Vista, 視窗 Vista Service Pack 1, 及視窗 Vista Service Pack 2
- 視窗 Vista x64 版本, 視窗 Vista x64 版本 Service Pack 1, 及視窗 Vista x64 版本 Service Pack 2
- 適用於 32 位元系統的視窗伺服器 2008 及視窗伺服器 2008 Service Pack 2
- 適用於 64 位元系統的視窗伺服器 2008 及視窗伺服器 2008 Service Pack 2
- 適用於 32 位元系統的視窗 7
- 適用於 64 位元系統的視窗 7
- 適用於 64 位元系統的視窗伺服器 2008
- 安裝在 Itanium-based 系統中的視窗伺服器 2008 R2
漏洞識別碼
- CVE-2010-0267
- CVE-2010-0488
- CVE-2010-0489
- CVE-2010-0490
- CVE-2010-0491
- CVE-2010-0492
- CVE-2010-0494
- CVE-2010-0805
- CVE-2010-0806
- CVE-2010-0807
資料來源
相關連結
分享至