-----BEGIN PGP SIGNED MESSAGE----- Microsoft 二月份安全性公告 ──────────────────────────────────────── Microsoft 安全性公告 MS05-004 - ASP.NET 路径验证弱点 (887219) 本更新解决 ASP.NET 一项公开弱点，可容许攻击者略过 ASP.NET 网站的安全性，以致於未 授权的情况下进行存取。本公告的＜弱点详细资讯＞部份会提供这项弱点的相关资讯。 成功利用这项弱点的攻击者可在未授权下之存取网站部分内容。 攻击者能执行的行动，依 受保护的具体内容而定。 参考网址： http://www.microsoft.com/taiwan/security/bulletin/MS05-004.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-005 - Microsoft Office XP 中的弱点可能导致缓冲区满溢 (873352) 这个更新程式可解决一项新发现、未公开报告的弱点，该弱点可能允许攻击者在受影响的系 统上执行程式码。 本公告的＜弱点详细资讯＞部分会提供这项弱点的相关资讯。 参考网址： http://www.microsoft.com/taiwan/security/bulletin/MS05-005.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-006 - Windows SharePoint Services 和 SharePoint Team Services 中的弱点可能会允许跨网站指令码和伪造攻击 (887981) 这个更新程式能解决一项新发现且未公开报告的弱点。 受影响的软体中存在一个跨网站指 令码和伪造弱点，可能允许攻击者以欺骗的方式，让使用者执行恶意指令码。 本公告的＜ 弱点详细资讯＞部分会提供这项弱点的相关资讯。 一旦攻击者成功地利用了这项弱点，就可以修改 Web 浏览器快取和中继 Proxy 伺服器快取 。 此外，攻击者可以将伪造的内容放入上述快取中。 攻击者也可以利用这项弱点来执行跨 网站指令码攻击。 我们建议客户考虑安装这项安全性更新。 参考网址： http://www.microsoft.com/taiwan/security/bulletin/MS05-006.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-007 - Windows 中的弱点可能会导致资讯泄露 (888302) 这个更新程式能解决一项新发现且未公开报告的弱点。 本公告的＜弱点详细资讯＞部分会 提供这项弱点的相关资讯。 成功利用这项弱点的攻击者，可以远端读取以开放式连线连接共用资源的使用者名称。 我们建议客户应该尽快套用此更新程式。 参考网址： http://www.microsoft.com/taiwan/security/bulletin/MS05-007.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-008 - Windows Shell 的弱点可能会允许远端程式码执行 (890047) 这个更新程式能解决一项新发现的弱点。 本公告的＜弱点详细资讯＞部分会提供这项弱点 的相关资讯。 由於 Windows 处理拖放事件的方式有问题，因此存在权限提高的弱点。 攻 击者可蓄意制作网页以利用此弱点。 如果使用者造访这个蓄意制作的网页或是阅读蓄意制 作的电子邮件讯息，便可能允许攻击者在使用者的系统上储存档案。 如果使用者以系统管理的使用者权限登入，成功利用此弱点的攻击者可以取得受影响系统 的完整控制权。 攻击者接下来将能安装程式，检视、变更或删除资料，或建立具有完整使 用者权限的新帐户。 系统上帐户使用者权限较低的使用者，其受影响的程度比拥有系统管 理权限的使用者要小。 不过，如要利用此项弱点发动攻击，必须要有相当程度的使用者互 动才能奏效。 我们建议客户应该尽快套用此更新程式。 参考网址： http://www.microsoft.com/taiwan/security/bulletin/MS05-008.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-009 - PNG 处理弱点可能会允许远端执行程式码 (890261) 这个更新程式能解决一项新发现的公开弱点。 PNG 影像格式的处理程序中存在远端执行程 式码的弱点。 本公告的＜弱点详细资讯＞部分会提供这项弱点的相关资讯。 成功利用此弱点的攻击者可以取得受影响系统的完整控制权。 攻击者接下来将能安装程式 ，检视、变更或删除资料，或建立具有完整使用者权限的新帐户。 参考网址： http://www.microsoft.com/taiwan/security/bulletin/MS05-009.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-010 - License Logging 服务的弱点可能允许程式码执行 (885834) 这个更新程式能解决一项新发现且未公开报告的弱点。 本公告的＜弱点详细资讯＞部分会 提供这项弱点的相关资讯。 成功利用此弱点的攻击者可以取得受影响系统的完整控制权。 攻击者接下来将能安装程式 ，检视、变更或删除资料，或建立具有完整使用者权限的新帐户。 Microsoft 建议客户立即套用此更新程式。 参考网址： http://www.microsoft.com/taiwan/security/bulletin/MS05-010.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-011 - 伺服器讯息区中的弱点可能会允许远端执行程式码 (885250) 这个更新程式能解决一项新发现且未公开报告的弱点。 本公告的＜弱点详细资讯＞部分会 提供这项弱点的相关资讯。 成功利用此弱点的攻击者可以取得受影响系统的完整控制权。 攻击者接下来将能安装程式 ，检视、变更或删除资料，或建立具有完整使用者权限的新帐户。 Microsoft 建议客户立即套用此更新程式。 参考网址： http://www.microsoft.com/taiwan/security/bulletin/MS05-011.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-012 - OLE 及 COM 中的弱点可能会允许远端执行程式码 (873333) 这个更新程式可解决数项新发现且未公开报告的弱点。 本公告会在各项弱点的＜弱点详细 资讯＞一节中，分别说明各项弱点的相关资讯。 成功利用最严重弱点的攻击者可以取得受影响系统的完整控制权。 攻击者接下来将能安装 程式，检视、变更或删除资料，或建立具有完整使用者权限的新帐户。 Microsoft 建议客户立即套用此更新程式。 参考网址： http://www.microsoft.com/taiwan/security/bulletin/MS05-012.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-013 - DHTML 编辑元件 ActiveX 控制项中的弱点可能会允许 程式码执行 (891781) 这个更新程式能解决一项新发现的公开弱点。 DHTML 编辑元件 ActiveX 控制项中有弱点存 在。 这项弱点可能会允许资讯泄漏，也可能会在受影响的系统上允许远端执行程式码。 本 公告的＜弱点详细资讯＞部分会提供这项弱点的相关资讯。 如果使用者以系统管理的使用者权限登入，成功利用此弱点的攻击者可以取得受影响系统的 完整控制权。 攻击者接下来将能安装程式，检视、变更或删除资料，或建立具有完整使用 者权限的新帐户。 系统上帐户使用者权限较低的使用者，其受影响的程度比拥有系统管理 权限的使用者要小。 Microsoft 建议客户立即套用此更新程式。 参考网址： http://www.microsoft.com/taiwan/security/bulletin/MS05-013.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-014 - Internet Explorer 积存安全性更新 (867282) 这个更新程式可解决多项新发现、公开及未公开报告的弱点。 本公告会在各项弱点的＜弱 点详细资讯＞一节中，分别说明各项弱点的相关资讯。 如果使用者以系统管理的使用者权限登入，成功利用此弱点的攻击者可以取得受影响系统的 完整控制权。 攻击者接下来将能安装程式，检视、变更或删除资料，或建立具有完整使用 者权限的新帐户。 系统上帐户使用者权限较低的使用者，其受影响的程度比拥有系统管理 权限的使用者要小。 Microsoft 建议客户立即套用此更新程式。 参考网址： http://www.microsoft.com/taiwan/security/bulletin/MS05-014.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-015 - 超连结物件程式库中的弱点可能会允许远端执行程式码 (888113) 这个更新程式能解决一项新发现且未公开报告的弱点。 本公告的＜弱点详细资讯＞部分会 提供这项弱点的相关资讯。 如果使用者以系统管理的使用者权限登入，成功利用此弱点的攻击者可以取得受影响系统的 完整控制权。 攻击者接下来将能安装程式，检视、变更或删除资料，或建立具有完整使用 者权限的新帐户。 系统上帐户使用者权限较低的使用者，其受影响的程度比拥有系统管理 权限的使用者要小。 Microsoft 建议客户立即套用此更新程式。 参考网址： http://www.microsoft.com/taiwan/security/bulletin/MS05-015.mspx ──────────────────────────────────────── -----BEGIN PGP SIGNATURE----- Version: PGP 7.0.4 iQEVAwUBQhRG5KcyQYefg2/NAQH+AwgAxq4hg+xTewt4GDspmUn2nHJJ/OoukotZ cGCUXb0BVVBFnXVwBdVAsGldbTNnKDCGTqML+glE3G1ZBTgouKxR9TvY8/McEuOM +nvAD1AYJuni7inH1s3J6afw81Nx17fR77RGZZJvwl5wEuQpCo7k6V2KHz8hR22P uf62OJTcRViMWtPnqWQpNlCida0Hv5cb+jVoSOPtjLTwq7Q6kxJC+gdhrlNobi+X FHIx7vM2U8Z9IkyuVUdp1zHeYJS5GrHa3Z6TXljBuz/7G96cTI7DEcwsEfsdkQ/C dKPYrVcgS3876xo1nsRE2GK6HmBQul7aTaZo8j1HRPqLCfvJ+rEz9g== =zEic -----END PGP SIGNATURE----- -- Taiwan Computer Emergency Response Team Security Advisory mailing list. Mail to : [email protected] and include a line "subscribe advisory". Please visit http://www.cert.org.tw/. PGP key : http://www.cert.org.tw/eng/pgp.htm