微軟 Internet Explorer 多個漏洞 ( 2010年01月22日 )

1. XSS 篩選器指令碼處理漏洞

Internet Explorer 8 會在正確篩選的 HTTP 回應資料中停用特定 HTML 屬性，造成 XSS 篩選器略過漏洞。 此漏洞可讓最初停用的指令碼在錯誤的安全性內容中執行，導致資訊洩漏。

2. URL 驗證漏洞

Internet Explorer 以錯誤的方式驗證輸入，造成遠端程式碼執行漏洞。 攻擊者可蓄意製作 URL 以利用此漏洞。 當使用者按下該 URL 時，此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。如果使用者以系統管理的使用者權限登入，成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。

3. 未初始化的記憶體損毀漏洞

Internet Explorer 存取未正確初始化或已刪除物件的方式中，存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。當使用者檢視網頁時，此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。如果使用者以系統管理的使用者權限登入，成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。

4. HTML 物件記憶體損毀漏洞

Internet Explorer 存取未正確初始化或已刪除物件的方式中，存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。當使用者檢視網頁時，此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。如果使用者以系統管理的使用者權限登入，成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。