[-IE-] 微軟修補IE零時差漏洞

看板Browsers (瀏覽器)作者nick1119 (Uncle C)時間16年前 (2009/12/09 18:22)推噓4(4推 0噓 0→)

留言4則, 4人參與討論串1/1

資訊整理：http://www.ithome.com.tw/itadm/article.php?c=58572 MS09-069：http://www.microsoft.com/technet/security/bulletin/ms09-069.mspx MS09-070：http://www.microsoft.com/technet/security/bulletin/ms09-070.mspx MS09-071：http://www.microsoft.com/technet/security/bulletin/ms09-071.mspx MS09-072：http://www.microsoft.com/technet/security/bulletin/ms09-072.mspx MS09-073：http://www.microsoft.com/technet/security/bulletin/ms09-073.mspx MS09-074：http://www.microsoft.com/technet/security/bulletin/ms09-074.mspx MS09-072針對IE的累積安全更新，修補了4個未被揭露的漏洞及1個已被公開的漏洞。駭客早在今年11月就釋出了該零時差漏洞的攻擊程式，微軟將MS09-072列為最應優先部署的安全更新。微軟於周二（12/8）的例行性更新中釋出了6項更新，修補12個安全漏洞，包括今年11月曝光的IE零時差漏洞，以及位於視窗與微軟Office中的漏洞。微軟此次的安全更新有三項被列為重大（Critical）更新，其中的MS09-072為針對IE的累積安全更新，修補了4個未被揭露的漏洞及1個已被公開的漏洞。駭客早在今年11月就釋出了該零時差漏洞的攻擊程式，微軟將MS09-072列為最應優先部署的安全更新，並表示更新所修補的5個漏洞皆屬於重大等級而且都位於第一攻擊指數，代表很可能遭受攻擊。受影響的IE版本為IE6與IE7。 MS09-071修補了微軟視窗網路認證服務（Internet Authentication Service）中的兩個漏洞，可能讓駭客用來掌控使用者電腦。 MS09-074修補的是Office Project的一個漏洞，當使用者開啟一個特製的Project檔案時，駭客便有機會取得使用者權限。被列為重要（Important）更新的則是MS09-069、MS09-070及MS09-073。其中，MS09-069 修補視窗中區域安全認證子系統服務（Local Security Authority Subsystem Service， LSASS）的一個漏洞，駭客藉由傳遞特製的ISAKMP訊息到該服務就能發動阻斷式服務攻擊。 MS09-070修補視窗中主動目錄聯邦服務（Active Directory Federation Services，ADFS ）的兩個漏洞，若網路伺服器啟動ADFS功能，駭客可藉機傳送特製的HTTP請求，並進一步自遠端執行惡意程式。 MS09-073則是修補微軟WordPad及Office文字轉換工具中的漏洞，若使用者在WordPad或 Office中開啟特製的Word 97檔案，駭客便能開採該漏洞並取得使用者權限。 -- 寂寞部屋之意慾蔓延 http://www.wretch.cc/blog/cyc1119 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.27.211.106