Internet Explorer 的安全性更新 (2017 年 7 月)

high Nessus Plugin ID 104891

語系：

概要

遠端主機上安裝的 Internet Explorer 受到多個弱點影響。

說明

遠端主機上安裝的 Internet Explorer 缺少安全性更新。因此，會受到多個弱點影響：- 當 Microsoft 瀏覽器不當處理重新導向要求時，存在一個安全性功能繞過弱點。此弱點允許 Microsoft 瀏覽器繞過 CORS 重新導向限制，並遵照本應該忽略的重新導向要求。成功惡意利用此弱點的攻擊者可強制瀏覽器將應該限制的資料傳送到攻擊者選擇的目的地網站。(CVE-2017-8592) - 當受影響的 Microsoft 瀏覽器未正確剖析 HTTP 內容時，存在一個偽造弱點。成功惡意利用此弱點的攻擊者可以透過將使用者重新導向到特製網站，藉以誘騙使用者。特製網站可以是詐騙內容，或是作為樞紐以將攻擊和網頁服務中其他弱點鏈結在一起。(CVE-2017-8602) - VBScript 引擎在 Internet Explorer 中轉譯時，處理記憶體中物件的方式存在一個遠端程式碼執行弱點。在網頁型攻擊情境中，攻擊者可以託管為透過 Internet Explorer 惡意利用此弱點而專門設計的特製網站，然後誘騙使用者檢視該網站。攻擊者也可以在應用程式中嵌入標記為「對初始化是安全的」的 ActiveX 控制項，或託管 Internet Explorer 轉譯引擎的 Microsoft Office 文件。攻擊者也可以利用遭入侵的網站和可接受或託管使用者提供內容或廣告的網站。這些網站可能包含可惡意利用此弱點的某些特製內容。成功惡意利用此弱點的攻擊者可取得與目前使用者相同的使用者權限。(CVE-2017-8618) - JavaScript 引擎在 Microsoft 瀏覽器中呈現處理記憶體中物件的方式存在一個遠端程式碼執行弱點。攻擊者可以在目前使用者的內容中執行任意程式碼，該弱點能夠藉此等方式損毀記憶體。成功惡意利用此弱點的攻擊者可取得與目前使用者相同的使用者權限。(CVE-2017-8606、CVE-2017-8607、CVE-2017-8608) - 當 Internet Explorer 透過 Microsoft Windows 文字服務架構不當存取記憶體中物件時，存在一個遠端程式碼執行弱點。攻擊者可以在目前使用者的內容中執行任意程式碼，該弱點能夠藉此等方式損毀記憶體。成功惡意利用此弱點的攻擊者可取得與目前使用者相同的使用者權限。(CVE-2017-8594)