跳至主內容

微軟 Internet Explorer 多個漏洞 (2010年06月09日)

最後更新 2011年01月28日 發佈日期: 2010年06月09日 2453 觀看次數

風險: 中度風險

1. 跨網域資訊洩漏漏洞

Internet Explorer 快取資料的方式中存在資訊洩漏漏洞,可能允許呼叫快取的內容,進而忽略 Internet Explorer 的網域限制。 攻擊者可架設蓄意製作的網頁,當使用者瀏覽此網頁時,便會允許洩漏資訊,藉此利用此漏洞。 成功利用此漏洞的攻擊者,能夠檢視本機電腦或瀏覽器視窗中、來自其他網域或其他網際網路區域的內容。

2. toStaticHTML 資訊洩漏漏洞

Internet Explorer 清理 HTML 時使用特定字串處理內容的方式,存在一項資訊洩漏漏洞。 攻擊者可架設蓄意製作的網頁,當使用者瀏覽此網頁時,便會允許洩漏資訊,藉此利用此漏洞。 成功利用此漏洞的攻擊者,可以對使用者進行跨網站指令碼處理,進而以該使用者的資訊安全內容,對使用 toStaticHTML API 的網站執行指令碼。

3. 未初始化的記憶體損毀漏洞

Internet Explorer 存取未正確初始化或已刪除物件的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。 當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。 如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。

4. HTML 元素記憶體損毀漏洞

Internet Explorer 存取 IE8 開發人員工具列中未正確初始化或已刪除物件的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。 當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。 如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。

5. 未初始化的記憶體損毀漏洞

Internet Explorer 存取 IE8 開發人員工具列中未正確初始化或已刪除物件的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。 當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。 如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。

6. 記憶體損毀漏洞

Internet Explorer 存取未正確初始化或已刪除物件的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。 當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。 如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。


影響

  • 遠端執行程式碼
  • 繞過保安限制
  • 資料洩露

受影響之系統或技術

  • Internet Explorer 5.01
  • Internet Explorer 6
  • Internet Explorer 7
  • Internet Explorer 8

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

請在這裡下載修補程式

Internet Explorer 5.01

Internet Explorer 6 Service Pack 1

Internet Explorer 6

Internet Explorer 7

Internet Explorer 8


漏洞識別碼


資料來源


相關連結