※ [本文轉錄自 NtuDormF8 看板] 作者: F8Net (女八網管) 看板: NtuDormF8 標題: [轉錄][公告] 微軟產品安全性警告 時間: Thu Oct 9 00:52:42 2003 ※ [本文轉錄自 NTUDormM7 看板] 作者: WebM7 (男七網管專用帳號) 看板: NTUDormM7 標題: [公告] 微軟產品安全性警告 時間: Wed Oct 8 08:29:54 2003 http://cert.ntu.edu.tw 微軟安全反應中心已經發佈MS03-040資訊安全公告。這是一個關於Internet Explorer產品 的弱點。使用者應該立即安裝此補充程式。 【技服中心】 以下摘錄自 http://www.icst.org.tw/content/application/ncert/epaper/cnt-send-view.php?grpid=5&vroot=0011&cntgrp_ordinal=0011&cnt_id=3302 微軟產品安全性警告 等級：Critical 微軟資訊安全公告MS03-040 受影響產品： * Microsoft Internet Explorer 5.01 * Microsoft Internet Explorer 5.5 * Microsoft Internet Explorer 6.0 * 使用於Windows Server 2003上的Microsoft Internet Explorer 6 說明： 微軟安全反應中心已經發佈MS03-040資訊安全公告。這是一個關於Internet Explorer產品 的弱點。系統管理員應該立即安裝此補充程式。 造成的影響： 執行攻擊者選擇的程式碼。 技術細節： 此項累積的補充程式包含所有先前發行Internet Explorer 5.01、5.5 及 6.0補充程式的 功能。 除此之外，此補充程式亦解決了以下發現的弱點： * 這個弱點之所以發生，是因為Internet Explorer未能正確判別在跳出的視窗中來自Web 伺服器傳回的物件類型。攻擊者可能會利用此一弱點，在使用者的系統上執行任何的程式 碼。若使用者連上攻擊者的網站，儘管使用者並無任何其他動作，攻擊者仍有可能可以利 用這個弱點。攻擊者也可能會蓄意製作一封HTML電子郵件，以嘗試利用這個弱點。 * 這個弱點之所以發生，是因為Internet Explorer未能正確判別當處理XML資料連結時由 Web伺服器傳回的物件類型。攻擊者可能會利用此一弱點，在使用者的系統上執行任何的 程式碼。若使用者連上攻擊者的網站，儘管使用者並無任何其他動作，攻擊者仍有可能可 以利用這個弱點。攻擊者也可能會蓄意製作一封HTML電子郵件，以嘗試利用這個弱點。 除了這些弱點外，Internet Explorer在限制區域轉譯DHTML的方式進行了變更。 這可能 導致攻擊著利用以上其中的弱點執行Script程式碼。除此之外，攻擊者可以利用Windows Media Player(WMP)的能力開啟URLs來建立攻擊，攻擊者也有可能會蓄意製作一封具有特 殊格式的HTML電子郵件。 為了利用這些瑕疵，攻擊者必須建立具有特別格式的HTML電子郵件，並將其傳送給使用者 。或者，攻擊者必須架設惡意的網站，並在其中包含專為利用這些弱點而設計的網頁。接 下來，攻擊者必須說服使用者拜訪該網站。 一如先前公告MS03-004, MS03-015, MS03-020和MS03-032所發佈的Internet Explorer累 積補充程式，如果尚未安裝「HTML 說明」更新，這個累積的補充程式會使 windows.showHelp()停止作用。如果已經安裝知識庫文件811630所討論的更新「HTML 說 明」控制項，在安裝這項補充程式以後，您將依然可以使用「HTML 說明」的功能。 除了安裝此補充程式外，我們建議使用者也安裝在知識庫文件828026所提及的Windows Media Player更新。您可以在Windows Update和微軟下載中心下載支援所有Windows Media Player版本的補充程式。 雖然不是一個安全性的補充程式，但此更新變更了 Windows Media Player開啟URLs的行為，進而保護利用以DHTML為主的攻擊。尤其它限制 Windows Media Player透過其他區域開啟本地電腦區域的URL。 需要重新開機： 是－在重新開機後，以下組合需要管理者身分的登入 * Internet Explorer 5.01 on Microsoft Windows 2000 and Microsoft Windows NT 4.0 * Internet Explorer 5.5 on Microsoft Windows 2000 補充程式是否可以解除安裝： 是 相關技術文件(Related KB Articles): 828750 資訊安全公告網站連結： http://www.microsoft.com/technet/security/bulletin/ms03-040.asp 微軟產品資訊安全相關網站連結： 請至以下網站以獲得更多有關微軟產品最新資訊安全訊息： 英文：http://www.microsoft.com/technet/security 中文：http://www.microsoft.com/taiwan/security --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.250.171 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.192.198 -- 報告完畢 下台一鞠躬 女五網管 關心你^^ --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.225.172