IE瀏覽器被發現存在危險漏洞,微軟公司緊急宣布,將於格林威治時間1日17時(台灣時間2日凌晨1時)釋出修補程式,以避免漏洞風險擴大。圖:翻攝自微軟官網
新頭殼newtalk2014.05.02 陳柔伊/綜合報導
Internet Explorer(IE)瀏覽器被發現存在危險漏洞,且已有駭客趁機攻擊美國政府網路,微軟公司(Microsoft)1日緊急宣布,將於格林威治時間1日17時(台灣時間2日凌晨1時)釋出修補程式,以避免漏洞風險擴大。
著名的電腦安全公司FireEye於上週末發現,IE版本6到11存有嚴重漏洞問題,將嚴重影響金融與大型企業服務,進而涉及使用者資料外洩等風險,甚至已經有駭客利用該漏洞來攻擊某些網站。FireEye研究人員表示,攻擊似乎從中國或中國附近發起,目標是美國政府網路以及美國的金融、國防和能源公司。
為此,微軟推出緊急更新,提供修補程式堵住IE瀏覽器的危險漏洞,對象包括數百萬仍使用老舊Windows XP作業系統的用戶。微軟指出,雖然先前已經宣布終止提供Windows XP系統更新服務,但基於對用戶安全的承諾,因此針對此次IE瀏覽器漏洞影響問題,仍將釋出更新內容,避免漏洞風險擴大。
微軟的IE瀏覽器是許多網路用戶主要使用的瀏覽器,該漏洞的發現凸顯了微軟終止提供Windows XP系統更新服務後所面臨的挑戰,根據華爾街日報報導,儘管於2001年推出的Windows XP系統安全性已不如更新的系統,但全球仍有約3億台電腦仍在使用該系統。
對此,微軟公司表示,由於舊系統對於新技術支援、相容仍有差異,因此仍鼓勵用戶盡早升級至更新的作業系統版本,例如Windows 7或Windows 8之後的版本。
美國國安局則建議,在微軟公司修復這項安全瑕疵前,使用者可考慮改用其他瀏覽器,或者啟用IE保護模式,將IE的安全性等級設定為「高」,並且勿任意點選電子郵件中的網址。
IE零時差攻擊 , 微軟重大漏洞 CVE-2014-1776
2014/4/27 微軟的Internet Explorer被發現存在零時差弱點,hack利用記憶體內容置入惡意程式碼。
微軟資安文件2963983:
https://technet.microsoft.com/en-us/library/security/2963983
弱點編號:
CVE-2014-1776
影響範圍:
Internet Explorer 6、 7、 8 、 9、 10 、 11 。
解決方式:
微軟已於5/2釋出修補程式
https://technet.microsoft.com/library/security/ms14-021
Microsoft 資訊安全公告 MS14-021 - 重大
本主題尚未接受評分 - 為這個主題評分
Internet Explorer 適用的資訊安全更新 (2965111)
發行日期: 2014 年 5 月 1 日
版本: 1.0
本頁內容
一般資訊
受影響及不受影響的軟體
更新常見問題集
嚴重性等級和資訊安全風險識別碼
Internet Explorer 記憶體損毀資訊安全風險 - CVE-2014-1776
偵測與部署工具及指南
資訊安全更新部署
感謝
其他資訊
一般資訊
提要
此資訊安全更新可解決 Internet Explorer 中一項已公開揭露的資訊安全風險。如果使用者使用受影響版本的 Internet Explorer 檢視蓄意製作的網頁,此資訊安全風險可能會允許遠端執行程式碼。成功利用此資訊安全風險的攻擊者可以取得與目前使用者相同的使用者權限。系統上帳戶使用者權限較低的使用者,其受影響的程度比擁有系統管理權限的使用者要小。
對於受影響的 Windows 用戶端上的 Internet Explorer 6 (IE 6)、Internet Explorer 7 (IE 7)、Internet Explorer 8 (IE 8)、Internet Explorer 9 (IE 9)、Internet Explorer 10 (IE 10) 和 Internet Explorer 11 (IE 11),此資訊安全更新的等級為「重大」;對於受影響的 Windows 伺服器上的 Internet Explorer 6 (IE 6)、Internet Explorer 7 (IE 7)、Internet Explorer 8 (IE 8)、Internet Explorer 9 (IE 9)、Internet Explorer 10 (IE 10) 和 Internet Explorer 11 (IE 11),等級為「中度」。如需更多資訊,請參閱本節中的<受影響及不受影響的軟體>小節。
此資訊安全更新會修改 Internet Explorer 處理記憶體中物件的方式,藉此解決此資訊安全風險。如需更多有關此資訊安全風險的資訊,請參閱本公告稍後特定資訊安全風險項目的<常見問題集 (FAQ)>小節。
此資訊安全更新可解決 Microsoft 資訊安全摘要報告 2963983 中首先提出的資訊安全風險。
建議。 大部分客戶都已啟用自動更新,並且不必須採取任何行動,因為資訊安全更新將自動下載和安裝。如需有關自動更新中特定設定選項的資訊,請參閱 Microsoft 知識庫文件編號 294871。對於沒有啟用自動更新的客戶,可採取開啟或關閉自動更新中的步驟來啟用自動更新。
若是系統管理員和企業安裝,或是想要手動安裝此資訊安全更新的使用者 (包括未啟用自動更新的客戶),Microsoft 建議客戶透過更新管理軟體或利用 Microsoft Update服務檢查更新以立即套用更新。另外亦可透過在本公告後文中受影響的軟體表格所列的下載連結取得更新。
另請參閱本公告下文的<偵測與部署工具及指南>一節。
知識庫文件
知識庫文件: 2965111
檔案資訊: 是
SHA1/SHA2 雜湊: 是
已知問題: 是
受影響及不受影響的軟體
下列軟體已經過測試判斷哪些版號或版本會受到影響。其他版本超過它們的支援週期或不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站。
受影響的軟體
作業系統
元件
最大資訊安全影響
彙總嚴重性等級
已取代更新
Internet Explorer 6
Windows XP Service Pack 3
Internet Explorer 6
(2964358)
遠端執行程式碼
重大
無
Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 6
(2964358)
遠端執行程式碼
重大
無
Windows Server 2003 Service Pack 2
Internet Explorer 6
(2964358)
遠端執行程式碼
中度
無
Windows Server 2003 x64 Edition Service Pack 2
Internet Explorer 6
(2964358)
遠端執行程式碼
中度
無
適用於 Itanium 型系統的 Windows Server 2003 SP2
Internet Explorer 6
(2964358)
遠端執行程式碼
中度
無
Internet Explorer 7
Windows XP Service Pack 3
Internet Explorer 7
(2964358)
遠端執行程式碼
重大
無
Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 7
(2964358)
遠端執行程式碼
重大
無
Windows Server 2003 Service Pack 2
Internet Explorer 7
(2964358)
遠端執行程式碼
中度
無
Windows Server 2003 x64 Edition Service Pack 2
Internet Explorer 7
(2964358)
遠端執行程式碼
中度
無
適用於 Itanium 型系統的 Windows Server 2003 SP2
Internet Explorer 7
(2964358)
遠端執行程式碼
中度
無
Windows Vista Service Pack 2
Internet Explorer 7
(2964358)
遠端執行程式碼
重大
無
Windows Vista x64 Edition Service Pack 2
Internet Explorer 7
(2964358)
遠端執行程式碼
重大
無
適用於 32 位元系統的 Windows Server 2008 Service Pack 2
Internet Explorer 7
(2964358)
遠端執行程式碼
中度
無
適用於 x64 型系統的 Windows Server 2008 Service Pack 2
Internet Explorer 7
(2964358)
遠端執行程式碼
中度
無
適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2
Internet Explorer 7
(2964358)
遠端執行程式碼
中度
無
Internet Explorer 8
Windows XP Service Pack 3
Internet Explorer 8
(2964358)
遠端執行程式碼
重大
無
Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 8
(2964358)
遠端執行程式碼
重大
無
Windows Server 2003 Service Pack 2
Internet Explorer 8
(2964358)
遠端執行程式碼
中度
無
Windows Server 2003 x64 Edition Service Pack 2
Internet Explorer 8
(2964358)
遠端執行程式碼
中度
無
Windows Vista Service Pack 2
Internet Explorer 8
(2964358)
遠端執行程式碼
重大
無
Windows Vista x64 Edition Service Pack 2
Internet Explorer 8
(2964358)
遠端執行程式碼
重大
無
適用於 32 位元系統的 Windows Server 2008 Service Pack 2
Internet Explorer 8
(2964358)
遠端執行程式碼
中度
無
適用於 x64 型系統的 Windows Server 2008 Service Pack 2
Internet Explorer 8
(2964358)
遠端執行程式碼
中度
無
適用於 32 位元系統的 Windows 7 Service Pack 1
Internet Explorer 8
(2964358)
遠端執行程式碼
重大
無
適用於 x64 型系統的 Windows 7 Service Pack 1
Internet Explorer 8
(2964358)
遠端執行程式碼
重大
無
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1
Internet Explorer 8
(2964358)
遠端執行程式碼
中度
無
適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1
Internet Explorer 8
(2964358)
遠端執行程式碼
中度
無
Internet Explorer 9
Windows Vista Service Pack 2
Internet Explorer 9
(2964358)
遠端執行程式碼
重大
無
Windows Vista x64 Edition Service Pack 2
Internet Explorer 9
(2964358)
遠端執行程式碼
重大
無
適用於 32 位元系統的 Windows Server 2008 Service Pack 2
Internet Explorer 9
(2964358)
遠端執行程式碼
中度
無
適用於 x64 型系統的 Windows Server 2008 Service Pack 2
Internet Explorer 9
(2964358)
遠端執行程式碼
中度
無
適用於 32 位元系統的 Windows 7 Service Pack 1
Internet Explorer 9
(2964358)
遠端執行程式碼
重大
無
適用於 x64 型系統的 Windows 7 Service Pack 1
Internet Explorer 9
(2964358)
遠端執行程式碼
重大
無
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1
Internet Explorer 9
(2964358)
遠端執行程式碼
中度
無
Internet Explorer 10
適用於 32 位元系統的 Windows 7 Service Pack 1
Internet Explorer 10
(2964358)
遠端執行程式碼
重大
無
適用於 x64 型系統的 Windows 7 Service Pack 1
Internet Explorer 10
(2964358)
遠端執行程式碼
重大
無
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1
Internet Explorer 10
(2964358)
遠端執行程式碼
中度
無
適用於 32 位元系統的 Windows 8
Internet Explorer 10
(2964358)
遠端執行程式碼
重大
無
適用於 x64 型系統的 Windows 8
Internet Explorer 10
(2964358)
遠端執行程式碼
重大
無
Windows Server 2012
Internet Explorer 10
(2964358)
遠端執行程式碼
中度
無
Windows RT
Internet Explorer 10[1]
(2964358)
遠端執行程式碼
重大
無
Internet Explorer 11
適用於 32 位元系統的 Windows 7 Service Pack 1
Internet Explorer 11 [2]
(2964358)
遠端執行程式碼
重大
無
適用於 32 位元系統的 Windows 7 Service Pack 1
Internet Explorer 11
(2964444)
遠端執行程式碼
重大
無
適用於 x64 型系統的 Windows 7 Service Pack 1
Internet Explorer 11 [2]
(2964358)
遠端執行程式碼
重大
無
適用於 x64 型系統的 Windows 7 Service Pack 1
Internet Explorer 11
(2964444)
遠端執行程式碼
重大
無
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1
Internet Explorer 11 [2]
(2964358)
遠端執行程式碼
中度
無
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1
Internet Explorer 11
(2964444)
遠端執行程式碼
中度
無
適用於 32 位元系統的 Windows 8.1
Internet Explorer 11 [3]
(2964358)
遠端執行程式碼
重大
無
適用於 32 位元系統的 Windows 8.1
Internet Explorer 11
(2964444)
遠端執行程式碼
重大
無
適用於 x64 型系統的 Windows 8.1
Internet Explorer 11 [3]
(2964358)
遠端執行程式碼
重大
無
適用於 x64 型系統的 Windows 8.1
Internet Explorer 11
(2964444)
遠端執行程式碼
重大
無
Windows Server 2012 R2
Internet Explorer 11 [3]
(2964358)
遠端執行程式碼
中度
無
Windows Server 2012 R2
Internet Explorer 11
(2964444)
遠端執行程式碼
中度
無
Windows RT 8.1
Internet Explorer 11[1][3]
(2964358)
遠端執行程式碼
重大
無
Windows RT 8.1
Internet Explorer 11[1]
(2964444)
遠端執行程式碼
重大
無
[1]更新是透過 Windows Update 提供。
[2]更新適用於已安裝 2961851 更新的系統。如需更多資訊,請參閱<更新常見問題集>。
[3]更新適用於已安裝 2919355 更新的系統。如需更多資訊,請參閱<更新常見問題集>。
不適用的軟體
作業系統
元件
Server Core 安裝
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)
不適用
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)
不適用
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝)
不適用
Windows Server 2012 (Server Core 安裝)
不適用
Windows Server 2012 R2 (Server Core 安裝)
--------------
沒有留言:
張貼留言