跳至主內容

微軟 Internet Explorer 多個漏洞(2009年04月15日)

最後更新 2011年01月28日 發佈日期: 2009年04月15日 2552 觀看次數

風險: 中度風險

1. 混合威脅遠端執行程式碼漏洞

Internet Explorer 在系統尋找並開啟檔案的方式中,存在混合威脅遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。

2. WinINet 認證反映漏洞

當使用者透過 HTTP 通訊協定連線至攻擊者的伺服器時,WinINet 處理 NTLM 認證的方式中存在遠端程式碼執行的漏洞。這個漏洞允許攻擊者重新執行使用者的認證,並以當時登入的使用者權限層級執行程式碼。如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。

3. 頁面轉換記憶體損毀漏洞

Internet Explorer 瀏覽不同網頁時,其處理頁面轉換的方式存在遠端執行程式碼的漏洞。其結果便是系統的記憶體可能會遭到損壞,若使用者造訪蓄意製作的網站,便會使攻擊者有機會執行任意程式碼。成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。

4. 未初始化的記憶體損毀漏洞

Internet Explorer 存取未正確初始化或已刪除物件的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。

5. 未初始化的記憶體損毀漏洞

Internet Explorer 存取未正確初始化或已刪除物件的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。如果使用者以系統管理的使用者權限登入,成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。

6. 未初始化的記憶體損毀漏洞

Internet Explorer 存取未初始化或已刪除物件的方式中,存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。 當使用者檢視網頁時,此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。


影響

  • 遠端執行程式碼

受影響之系統或技術

  • 微軟 Internet Explorer 5.01
  • 微軟 Internet Explorer 6
  • 視窗 Internet Explorer 7
  • 微軟視窗 2000
  • 視窗 XP
  • 視窗伺服器 2003
  • 視窗 Vista
  • 視窗伺服器 2008

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

請在這裡下載修補程式


漏洞識別碼


資料來源


相關連結