微軟 Internet Explorer 積存保安更新

最後更新 2015年08月03日發佈日期: 2015年07月15日 951 觀看次數

風險: 高度風險

類型: 用戶端 - 瀏覽器

VBScript 記憶體損毀弱點
VBScript 引擎 (呈現於 Internet Explorer 時) 處理記憶體中物件的方式中，存在遠端執行程式碼的弱點。在網頁型攻擊的案例中，攻擊者可以針對這個經由 Internet Explorer 引起的弱點來設計並架設蓄意製作的網站，然後引誘使用者檢視該網站。一名攻擊者也可以嵌入一個 ActiveX 控制項，該控制項在內含 IE 轉譯引擎的應用程式或 Microsoft Office 文件中標示為「安全的初始化」。攻擊者也可能利用受侵害的網站，以及接受或裝載使用者提供內容或廣告的網站。這些網站可能含有經過蓄意製作並利用此弱點的內容。
Internet Explorer XSS 篩選略過弱點
Internet Explorer 會在正確篩選的 HTTP 回應資料中停用特定 HTML 屬性，造成 XSS 篩選器略過弱點。此弱點可讓最初停用的指令碼在錯誤的安全性內容中執行，導致資訊洩漏。
Internet Explorer 權限提高弱點
提高權限弱點導因於 Internet Explorer 於特定情況下無法正確驗證權限，而這可能會允許以提高的權限執行指令碼。
JScript9 記憶體損毀弱點
JScript 引擎 (呈現於 Internet Explorer 時) 處理記憶體中物件的方式中，存在遠端程式碼執行的弱點。在網頁型攻擊的案例中，攻擊者可以針對這個經由 Internet Explorer 引起的弱點來設計並架設蓄意製作的網站，然後引誘使用者檢視該網站。一名攻擊者也可以嵌入一個 ActiveX 控制項，該控制項在內含 IE 轉譯引擎的應用程式或 Microsoft Office 文件中標示為「安全的初始化」。攻擊者也可能利用受侵害的網站，以及接受或裝載使用者提供內容或廣告的網站。這些網站可能含有經過蓄意製作並利用此弱點的內容。
Internet Explorer ASLR 略過
當 Internet Explorer 無法使用位址空間配置隨機載入 (ASLR) 資訊安全功能時，即存在資訊安全功能略過弱點，攻擊者此時能更可靠地預測特定呼叫堆疊中特定指示的記憶體位移。成功利用此弱點的攻擊者可以略過位址空間配置隨機載入 (ASLR) 資訊安全功能，而此功能可保護使用者免於廣泛類別的弱點侵擾。略過資訊安全功能本身不會允許執行任意程式碼。不過，攻擊者可以使用此 ASLR 略過弱點與另一個弱點 (如遠端執行程式碼弱點) 搭配，在目標系統上更可靠地執行任意程式碼。
Internet Explorer 中的多項記憶體損毀弱點
當 Internet Explorer 不正確地存取記憶體中的物件時，即存在遠端執行程式碼弱點。這些弱點可能會損毀記憶體，使攻擊者有機會以目前使用者的權限層級執行任意程式碼。
多重 Internet Explorer 資訊洩漏弱點
資訊洩漏弱點存在於 Internet Explorer 中。