:::
admin - 資通安全訊息 | 2005-12-22 | 點閱數: 1417
轉載國家資通安全會報技術服務中心通報訊息:

微軟近期公佈了Internet Explorer瀏覽器四項弱點(MS05-054),這四項弱點可能被利用來植入惡意程式或洩露資訊等攻擊。微軟所公佈的這四項弱點包括:

1.檔案下載對話視窗:IE的下載對話方塊和網頁互動過程中接受使用者輸入的方式,存在遠端執行程式碼的弱點,使用者可能被誤導而點按網頁上的項目。

2.COM物件(ActiveX Controls):這是經由遠端執行程式弱點所造成Instantiation Memory毀損,攻擊者可以取得受影響系統的完整控制權。

3.Mismatched Document Object Model Objects Memory毀損:IE處理不相符的文件物件模型物件的方式,存在遠端執行程式碼的弱點。

4.HTTPS Proxy弱點:在 HTTPS Proxy Server要求用戶端使用基本驗證的某些情況下,Internet Explorer 處理方式存在資訊洩漏弱點。

IE這四項弱點之前三項都是透過架設惡意網站並引誘使用者瀏覽來進行攻擊,而HTTPS Proxy的弱點則可能利用Proxy來讀取機密的資訊。這些漏洞存在於 IE 5.01 SP4, 5.5 SP2, 6 SP1及其之前之版本。

技服中心強烈呼籲使用 Internet Explorer瀏覽器的各單位應儘速更新至最新,且持續注意該軟體安全公告。

MS05-054弱點修正下載:http://www.microsoft.com/taiwan/security/bulletin/MS05-054.mspx