您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner

MS15-124 - 重大 - Internet Explorer 累積安全性更新

受影響軟體:

Internet Explorer 7 :

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

32 位元系統的 Windows Server 2008 Service Pack 2

適用於 x64 型系統的 Windows Server 2008 Service Pack 2

Itanium 系統的 Windows Server 2008 Service Pack 2

Internet Explorer 8 :

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

32 位元系統的 Windows Server 2008 Service Pack 2

適用於 x64 型系統的 Windows Server 2008 Service Pack 2

Windows 7 32 位元系統 Service Pack 1

Windows 7 x64 系統 Service Pack 1

Windows Server 2008 R2 x64 系統 Service Pack 1

適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1

Internet Explorer 9 :

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

適用於 32 位元系統的 Windows Server 2008 Service Pack 2

適用於 x64 型系統的 Windows Server 2008 Service Pack 2

適用於 32 位元系統的 Windows 7 Service Pack 1

適用於 x64 型系統的 Windows 7 Service Pack 1

適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1

Internet Explorer 10 :

適用於 32 位元系統的 Windows 7 Service Pack 1

適用於 x64 型系統的 Windows 7 Service Pack 1

適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1

Windows 8 32 位元系統

適用於 x64 型系統的 Windows 8 

Windows Server 2012

Windows RT

Internet Explorer 11 :

適用於 32 位元系統的 Windows 7 Service Pack 1

適用於 x64 型系統的 Windows 7 Service Pack 1

適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1

Windows 8.1 32 位元系統

適用於 x64 型系統的 Windows 8.1 

Windows Server 2012 R2

Windows RT 8.1

適用於 32 位元系統的 Windows 10

適用於 x64 型系統的 Windows 10

適用於 32 位元系統的 Windows 10 1511 版

適用於 x64 型系統的 Windows 10 1511 版

 

影響狀況:

可能在使用者以 Internet Explorer 檢視蓄意製作的網頁時允許遠端執行程式碼。成功利用這些弱點的攻擊者可以取得與本機使用者相同的使用者權限。

 

弱點說明:

多個 Internet Explorer 記憶體損毀弱點

當 Internet Explorer 不當存取記憶體中的物件時,即存在多個遠端執行程式碼弱點。這些弱點可能會損毀記憶體,使攻擊者有機會以目前使用者的權限層級執行任意程式碼。 

攻擊者可以針對這些經由 Internet Explorer 引起的弱點來設計並架設蓄意製作的網站,然後引誘使用者檢視該網站。攻擊者也可能利用受侵害的網站,以及接受或存放使用者提供之內容或廣告的網站 (透過新增蓄意製作以利用此弱點的內容)。但是,攻擊者無法強迫使用者檢視受攻擊者控制的內容,而是攻擊者必須引誘使用者採取動作,一般是藉助電子郵件的附件或 Instant Messenger 訊息,或是讓他們開啟經由電子郵件傳送的附件。

 

多個 Microsoft 瀏覽器 XSS 篩選略過弱點

Internet Explorer 會在正確篩選的 HTTP 回應資料中停用特定 HTML 屬性,造成多個 XSS 篩選略過弱點。這些弱點可讓最初停用的指令碼在錯誤的安全性內容中執行,導致資訊洩漏。

攻擊者可以在網站上張貼針對利用弱點而設計並蓄意製作的內容。攻擊者必須說服使用者檢視受影響網站上的內容。如果使用者瀏覽至網站,XSS 篩選會停用蓄意製作內容中的 HTML 屬性,形成讓惡意指令碼可在錯誤的安全內容中執行的狀況,進而造成資料洩漏。

 

指令碼引擎資訊洩漏弱點 - CVE-2015-6135

當 VBScript 不當洩漏其記憶體中的內容時,就會存在資訊洩漏弱點,讓攻擊者可以從中獲得相關資訊來進一步侵入使用者的電腦或資料。

 

指令碼引擎記憶體損毀弱點 – CVE-2015-6136

VBScript 引擎在處理 Internet Explorer 記憶體中的物件時於 Internet Explorer 呈現的方式中,存在一個遠端執行程式碼的弱點。此弱點可能會損毀記憶體,使攻擊者有機會以目前使用者的權限層級執行任意程式碼。

 

Microsoft 瀏覽器權限提高弱點 – CVE-2015-6139

當 Internet Explorer 未妥善強制執行內容類型時,就會存在權限提高弱點。成功利用此弱點的攻擊者能以提高的權限執行任意指令碼。

 

Internet Explorer 資訊洩漏弱點 - CVE-2015-6157

當 Internet Explorer 不當洩漏其記憶體中的內容時,就會存在資訊洩漏弱點。成功利用此弱點的攻擊者可獲得相關資訊來進一步侵入使用者的系統。

 

Internet Explorer ASLR 略過 – CVE-2015-6161

因為在分派某些視窗訊息時處理例外狀況的方式,系統上會存在 Internet Explorer 的資訊安全功能略過,這會允許攻擊者探查位址空間的配置,並因此略過 位址空間配置隨機載入 (ASLR)。ASLR 略過本身不會允許執行任意程式碼。不過,攻擊者可以使用此 ASLR 略過與另一個弱點 (如遠端執行程式碼弱點) 搭配,在目標系統上執行任意程式碼。使用者必須登入並執行受影響版本的 Internet Explorer,攻擊者才能成功利用 ASLR 略過。使用者必須瀏覽至惡意網站。

 

Internet Explorer XSS 篩選略過弱點 – CVE-2015-6164

當 Internet Explorer 未妥善強制執行跨網域原則時,就會存在資訊安全功能略過弱點。這項弱點可能會允許攻擊者從一個網域中存取資訊,並將其插入至另一個網域。

 

Reference

https://technet.microsoft.com/zh-tw/library/security/MS15-124

Publish Date
2015/12/22 0:00:00