您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner

MS15-129 - 重大 - 用來解決遠端執行程式碼的 Silverlight 安全性更新

受影響軟體:

安裝在 Mac 上的 Microsoft Silverlight 5

安裝在 Mac 上的 Microsoft Silverlight 5 Developer Runtime

安裝在所有受支援版本的 Microsoft Windows 用戶端上的 Microsoft Silverlight 5

安裝在所有受支援版本之 Microsoft Windows 用戶端上的 Microsoft Silverlight 5 Developer Runtime

安裝在所有受支援版本的 Microsoft Windows 伺服器上的 Microsoft Silverlight 5

安裝在所有受支援版本之 Microsoft Windows 伺服器上的 Microsoft Silverlight 5 Developer Runtime

 

影響狀況:

此安全性更新可解決 Microsoft Silverlight 中的弱點。如果 Microsoft Silverlight 未正確處理會導致讀取和寫入存取違規的特定開啟和關閉要求,這些弱點最嚴重時會允許遠端程式碼執行。如果要利用此弱點,攻擊者會架設包含蓄意製作的 Silverlight 應用程式的網站,然後引誘使用者造訪受侵害的網站。攻擊者也可能利用包含蓄意製作的內容的網站,包括接受或裝載使用者提供內容或廣告的網站。

 

弱點說明:

Microsoft Silverlight RCE 弱點 - CVE-2015-6166

如果要利用此弱點,攻擊者會架設包含蓄意製作的 Silverlight 應用程式的網站,然後引誘使用者造訪受侵害的網站。攻擊者也可能利用包含蓄意製作的內容的網站,包括接受或裝載使用者提供內容或廣告的網站。例如,攻擊者可能使用橫幅廣告或其他方式來顯示蓄意製作的網頁內容,以便將內容傳遞到受影響的系統。但是,在所有情況下,攻擊者無法強迫使用者造訪受侵害的網站,而是必須引誘使用者造訪網站,一般的做法是引誘使用者按一下電子郵件中的連結或 Instant Messenger 訊息中的連結。

 

多項 Microsoft Silverlight 資訊洩漏弱點

當 Silverlight 無法妥善處理記憶體中的物件,就會存在多項資訊洩漏弱點,讓攻擊者更可靠地預測指標值,降低 位址空間配置隨機載入 (ASLR) 資訊安全功能的效率。

 

Reference

https://technet.microsoft.com/zh-tw/library/security/MS15-129

Publish Date
2015/12/23 0:00:00