微軟 Internet Explorer 多個漏洞(2009年12月09日)

1. ATL COM 初始化漏洞

使用易受影響的 Microsoft Active Template Library (ATL) 標頭所建立的 ActiveX 控制項中存在遠端執行程式碼的漏洞。 此漏洞只會直接影響安裝了以 Visual Studio ATL 建立的元件和控制項之系統。 使用 ATL 建立的元件和控制項可能會允許任意物件具現化，而略過相關的安全性原則，例如在 Internet Explorer 內的 Kill Bit (刪除位元)。 因此，此漏洞可能會允許未經驗證的遠端使用者在受影響的系統上執行遠端執行程式碼。 攻擊者可蓄意製作網頁以利用此漏洞。當使用者檢視網頁時，此漏洞可能會允許遠端執行程式碼。

2. 未初始化的記憶體損毀漏洞

Internet Explorer 存取未正確初始化或已刪除物件的方式中，存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。當使用者檢視網頁時，此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。如果使用者以系統管理的使用者權限登入，成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。

3. HTML 物件記憶體損毀漏洞

Internet Explorer 存取未正確初始化或已刪除物件的方式中，存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。當使用者檢視網頁時，此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。如果使用者以系統管理的使用者權限登入，成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。

4. 未初始化的記憶體損毀漏洞

Internet Explorer 存取未正確初始化或已刪除物件的方式中，存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。當使用者檢視網頁時，此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。如果使用者以系統管理的使用者權限登入，成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。

5. 未初始化的記憶體損毀漏洞

Internet Explorer 存取未正確初始化或已刪除物件的方式中，存在遠端執行程式碼的漏洞。 攻擊者可蓄意製作網頁以利用此漏洞。當使用者檢視網頁時，此漏洞可能會允許遠端執行程式碼。 成功利用此漏洞的攻擊者可以取得與登入使用者相同的使用者權限。如果使用者以系統管理的使用者權限登入，成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。