Update-IE弱點可能導致資訊外洩、執行任意程式 使用者宜儘速修補漏洞
日前經過證實,倘若Windows使用者透過Internet Explorer(IE)瀏覽器檢視蓄意製作的網頁,則可能會肇因於箇中允許遠端執行程式碼之弱點,從而蒙受若干風險,甚至導致資訊洩漏,其殺傷力不容小覷;緣於此故,微軟(Windows)特別發布MS08-031安全性公告,並將此公告的最高嚴重性等級列為「重大」,期望使用者能正視相關弱點,並及早下載暨安裝相對應之安全性更新。據悉,此次攸關IE積存安全問題的漏洞,包含了通用安全弱點編號為CVE-2008-1442的HTML物件記憶體損毀弱點,以及編號為CVE-2008-1544的要求標頭跨網域資訊洩漏弱點。有關CVE-2008-1544弱點,係IE處理某些要求標頭的方式存在資訊洩漏之漏洞,攻擊者可蓄意製作網頁以利用此弱點,而當使用者檢視網頁時,弱點可能允許攻擊者從其他IE網域讀取資料;至於CVE-2008-1442弱點,則在於IE顯示內含特定未預期HTML物件方式呼叫之網頁的方式,存在遠端執行程式碼的弱點,攻擊者亦可蓄意製作網頁以利用此弱點,而當使用者檢視網頁時,此弱點可能會允許遠端執行程式碼,成功利用此弱點的攻擊者,便可取得與登入使用者相同的使用者權限。
論及CVE-2008-1544弱點的因應措施(註:無法徹底修正弱點,但有助在套用更新之前,封鎖已知攻擊模式的設定變更),可以設定IE,以便在執行動態指令碼之前,先行提示或停用網際網路及近端內部網路安全性區域內的動態指令碼,抑或將網際網路及近端內部網路安全性區域設定為「高」,俾使系統在這些區域執行ActiveX 控制項及動態指令碼前,便會先行提示;至於CVE-2008-1442弱點的因應措施,則大致與CVE-2008-1544弱點相同。
而這2項弱點的影響範圍,若是IE 5.01或IE 6 SP1,可能受衝擊的作業系統為Windows 2000 SP4;若是IE 6,牽連到的平台包括Windows XP SP2或 SP3、Windows XP Professional x64 Edition或x64 Edition SP2、Windows Server 2003 SP1或Windows Server 2003 SP2、Windows Server 2003 x64 Edition或x64 Edition SP2、Windows Server 2003 SP1或SP2 for Itanium-based Systems;如果是IE 7,衝擊範疇則除了與IE 6相同的眾多平台外,另加上Windows Vista或Vista Service Pack 1、Windows Vista x64 Edition或SP1,以及適用於32位元、64位元或Itanium系統的Windows Server 2008。(明雲青)
[img]http://app.digitimes.com.tw/newsimg/2008/0703/95960-1-04S4I.jpg[/img]
圖說:Windows用戶若透過IE瀏覽器檢視蓄意製作的網頁,可能會肇因於箇中允許遠端執行程式碼之弱點,從而蒙受若干風險,甚至導致資訊洩漏,對此,微軟發布MS08-031安全性公告,並提供更新修補程式。
页:
[1]