-----BEGIN PGP SIGNED MESSAGE----- Microsoft 二月份安全性公告 ──────────────────────────────────────── Microsoft 安全性公告 MS05-004 - ASP.NET 路徑驗證弱點 (887219) 本更新解決 ASP.NET 一項公開弱點，可容許攻擊者略過 ASP.NET 網站的安全性，以致於未 授權的情況下進行存取。本公告的＜弱點詳細資訊＞部份會提供這項弱點的相關資訊。 成功利用這項弱點的攻擊者可在未授權下之存取網站部分內容。 攻擊者能執行的行動，依 受保護的具體內容而定。 參考網址： http://www.microsoft.com/taiwan/security/bulletin/MS05-004.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-005 - Microsoft Office XP 中的弱點可能導致緩衝區滿溢 (873352) 這個更新程式可解決一項新發現、未公開報告的弱點，該弱點可能允許攻擊者在受影響的系 統上執行程式碼。 本公告的＜弱點詳細資訊＞部分會提供這項弱點的相關資訊。 參考網址： http://www.microsoft.com/taiwan/security/bulletin/MS05-005.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-006 - Windows SharePoint Services 和 SharePoint Team Services 中的弱點可能會允許跨網站指令碼和偽造攻擊 (887981) 這個更新程式能解決一項新發現且未公開報告的弱點。 受影響的軟體中存在一個跨網站指 令碼和偽造弱點，可能允許攻擊者以欺騙的方式，讓使用者執行惡意指令碼。 本公告的＜ 弱點詳細資訊＞部分會提供這項弱點的相關資訊。 一旦攻擊者成功地利用了這項弱點，就可以修改 Web 瀏覽器快取和中繼 Proxy 伺服器快取 。 此外，攻擊者可以將偽造的內容放入上述快取中。 攻擊者也可以利用這項弱點來執行跨 網站指令碼攻擊。 我們建議客戶考慮安裝這項安全性更新。 參考網址： http://www.microsoft.com/taiwan/security/bulletin/MS05-006.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-007 - Windows 中的弱點可能會導致資訊洩露 (888302) 這個更新程式能解決一項新發現且未公開報告的弱點。 本公告的＜弱點詳細資訊＞部分會 提供這項弱點的相關資訊。 成功利用這項弱點的攻擊者，可以遠端讀取以開放式連線連接共用資源的使用者名稱。 我們建議客戶應該儘快套用此更新程式。 參考網址： http://www.microsoft.com/taiwan/security/bulletin/MS05-007.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-008 - Windows Shell 的弱點可能會允許遠端程式碼執行 (890047) 這個更新程式能解決一項新發現的弱點。 本公告的＜弱點詳細資訊＞部分會提供這項弱點 的相關資訊。 由於 Windows 處理拖放事件的方式有問題，因此存在權限提高的弱點。 攻 擊者可蓄意製作網頁以利用此弱點。 如果使用者造訪這個蓄意製作的網頁或是閱讀蓄意製 作的電子郵件訊息，便可能允許攻擊者在使用者的系統上儲存檔案。 如果使用者以系統管理的使用者權限登入，成功利用此弱點的攻擊者可以取得受影響系統 的完整控制權。 攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使 用者權限的新帳戶。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管 理權限的使用者要小。 不過，如要利用此項弱點發動攻擊，必須要有相當程度的使用者互 動才能奏效。 我們建議客戶應該儘快套用此更新程式。 參考網址： http://www.microsoft.com/taiwan/security/bulletin/MS05-008.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-009 - PNG 處理弱點可能會允許遠端執行程式碼 (890261) 這個更新程式能解決一項新發現的公開弱點。 PNG 影像格式的處理程序中存在遠端執行程 式碼的弱點。 本公告的＜弱點詳細資訊＞部分會提供這項弱點的相關資訊。 成功利用此弱點的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式 ，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。 參考網址： http://www.microsoft.com/taiwan/security/bulletin/MS05-009.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-010 - License Logging 服務的弱點可能允許程式碼執行 (885834) 這個更新程式能解決一項新發現且未公開報告的弱點。 本公告的＜弱點詳細資訊＞部分會 提供這項弱點的相關資訊。 成功利用此弱點的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式 ，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。 Microsoft 建議客戶立即套用此更新程式。 參考網址： http://www.microsoft.com/taiwan/security/bulletin/MS05-010.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-011 - 伺服器訊息區中的弱點可能會允許遠端執行程式碼 (885250) 這個更新程式能解決一項新發現且未公開報告的弱點。 本公告的＜弱點詳細資訊＞部分會 提供這項弱點的相關資訊。 成功利用此弱點的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式 ，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。 Microsoft 建議客戶立即套用此更新程式。 參考網址： http://www.microsoft.com/taiwan/security/bulletin/MS05-011.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-012 - OLE 及 COM 中的弱點可能會允許遠端執行程式碼 (873333) 這個更新程式可解決數項新發現且未公開報告的弱點。 本公告會在各項弱點的＜弱點詳細 資訊＞一節中，分別說明各項弱點的相關資訊。 成功利用最嚴重弱點的攻擊者可以取得受影響系統的完整控制權。 攻擊者接下來將能安裝 程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。 Microsoft 建議客戶立即套用此更新程式。 參考網址： http://www.microsoft.com/taiwan/security/bulletin/MS05-012.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-013 - DHTML 編輯元件 ActiveX 控制項中的弱點可能會允許 程式碼執行 (891781) 這個更新程式能解決一項新發現的公開弱點。 DHTML 編輯元件 ActiveX 控制項中有弱點存 在。 這項弱點可能會允許資訊洩漏，也可能會在受影響的系統上允許遠端執行程式碼。 本 公告的＜弱點詳細資訊＞部分會提供這項弱點的相關資訊。 如果使用者以系統管理的使用者權限登入，成功利用此弱點的攻擊者可以取得受影響系統的 完整控制權。 攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用 者權限的新帳戶。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理 權限的使用者要小。 Microsoft 建議客戶立即套用此更新程式。 參考網址： http://www.microsoft.com/taiwan/security/bulletin/MS05-013.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-014 - Internet Explorer 積存安全性更新 (867282) 這個更新程式可解決多項新發現、公開及未公開報告的弱點。 本公告會在各項弱點的＜弱 點詳細資訊＞一節中，分別說明各項弱點的相關資訊。 如果使用者以系統管理的使用者權限登入，成功利用此弱點的攻擊者可以取得受影響系統的 完整控制權。 攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用 者權限的新帳戶。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理 權限的使用者要小。 Microsoft 建議客戶立即套用此更新程式。 參考網址： http://www.microsoft.com/taiwan/security/bulletin/MS05-014.mspx ──────────────────────────────────────── Microsoft 安全性公告 MS05-015 - 超連結物件程式庫中的弱點可能會允許遠端執行程式碼 (888113) 這個更新程式能解決一項新發現且未公開報告的弱點。 本公告的＜弱點詳細資訊＞部分會 提供這項弱點的相關資訊。 如果使用者以系統管理的使用者權限登入，成功利用此弱點的攻擊者可以取得受影響系統的 完整控制權。 攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用 者權限的新帳戶。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理 權限的使用者要小。 Microsoft 建議客戶立即套用此更新程式。 參考網址： http://www.microsoft.com/taiwan/security/bulletin/MS05-015.mspx ──────────────────────────────────────── -----BEGIN PGP SIGNATURE----- Version: PGP 7.0.4 iQEVAwUBQhRG5KcyQYefg2/NAQH+AwgAxq4hg+xTewt4GDspmUn2nHJJ/OoukotZ cGCUXb0BVVBFnXVwBdVAsGldbTNnKDCGTqML+glE3G1ZBTgouKxR9TvY8/McEuOM +nvAD1AYJuni7inH1s3J6afw81Nx17fR77RGZZJvwl5wEuQpCo7k6V2KHz8hR22P uf62OJTcRViMWtPnqWQpNlCida0Hv5cb+jVoSOPtjLTwq7Q6kxJC+gdhrlNobi+X FHIx7vM2U8Z9IkyuVUdp1zHeYJS5GrHa3Z6TXljBuz/7G96cTI7DEcwsEfsdkQ/C dKPYrVcgS3876xo1nsRE2GK6HmBQul7aTaZo8j1HRPqLCfvJ+rEz9g== =zEic -----END PGP SIGNATURE----- -- Taiwan Computer Emergency Response Team Security Advisory mailing list. Mail to : [email protected] and include a line "subscribe advisory". Please visit http://www.cert.org.tw/. PGP key : http://www.cert.org.tw/eng/pgp.htm