Microsoft Internet Explorer 5.5 SP2 التراكمي التصحيح التحديث الأمني.
التحميل الان

Microsoft Internet Explorer 5.5 SP2 التراكمي التصحيح الترتيب والملخص

Microsoft Internet Explorer 5.5 SP2 التراكمي التصحيح العلامات

تحديث الأمن أمن الضروريات التحديث تحديث أساسيات الأمان

Microsoft Internet Explorer 5.5 SP2 التراكمي التصحيح وصف

من Microsoft: هذا عبارة عن تصحيح تراكمي يتضمن وظيفة جميع التصحيحات التي تم إصدارها مسبقا ل IE 5.01 و 5.5 و 6.0. بالإضافة إلى ذلك، فإنه يزيل نقاط الضعف الستة التالية المكتشفة حديثا: مشكلة عدم حصانة البرمجة النصية عبر الموقع في مورد HTML المحلي. أي السفن مع العديد من الملفات التي تحتوي على HTML على نظام الملفات المحلية لتوفير وظيفة. تحتوي إحدى هذه الملفات على ثغوية البرمجة النصية عبر الموقع والتي يمكن أن تسمح بتنفيذ البرنامج النصي كما لو كان يعمل من قبل المستخدم نفسها، مما يؤدي إلى تشغيله في منطقة الكمبيوتر المحلي. يمكن للمهاجم أن يصنع صفحة ويب بعنوان URL الذي يستغل هذه الثغرة الأمنية ثم يستضيف تلك الصفحة على خادم ويب أو إرسالها كبريد إلكتروني HTML. عند عرض صفحة الويب ونقر عليه المستخدم على رابط URL، يتم حقن البرنامج النصي للمهاجم في المورد المحلي، وسيتم تشغيل البرنامج النصي للمهاجم في منطقة الكمبيوتر المحلية، مما يسمح له بالتشغيل مع قيود أقل مما ستحصل عليه. توفر مشكلة عدم حصانة إفصاح المعلومات المتعلقة باستخدام كائن AM HTML هذا الدعم لأوراق النمط المتتالية التي قد تسمح بمهاجما للقراءة، ولكن لا تضيف أو حذف أو تغيير أو بيانات النظام المحلي. يمكن للمهاجم أن يصنع صفحة ويب تستغل هذه الثغرة الأمنية، ثم استضافت تلك الصفحة على خادم ويب أو إرسالها كبريد الإلكتروني HTML. عند عرض الصفحة، سيتم استدعاء العنصر. ومع ذلك، فإن استغلال هذه الضعف بنجاح، ومع ذلك، يتطلب معرفة دقيقة عن موقع الملف المقصود ليتم قراءته على نظام المستخدم. علاوة على ذلك، فإنه يتطلب أن يحتوي الملف المقصود على حرف ASCII واحد وحنفية. تعتبر ضعف الإفصاح عن المعلومات المتعلقة بمعالجة البرنامج النصي داخل ملفات تعريف الارتباط التي قد تسمح بموقع واحد لقراءة ملفات تعريف الارتباط الأخرى. يمكن للمهاجم إنشاء ملف تعريف ارتباط خاص يحتوي على نص البرنامج النصي ثم قم ببناء صفحة ويب ذات ارتباط تشعبي من شأنه تقديم ملف تعريف الارتباط إلى نظام المستخدم واستدعائه. يمكن أن يرسل بعد ذلك صفحة الويب كبريد أو نشره على خادم. عند النقر فوق المستخدم على الارتباط التشعبي، استدعاء الصفحة البرنامج النصي في ملف تعريف الارتباط، هل يمكن قراءة ملفات تعريف الارتباط أو تغيير ملفات تعريف الارتباط أو تغييرها. ومع ذلك، فإن استغلال هذا بنجاح سيتطلب من أن يعرف المهاجم الاسم الدقيق للملفات تعريف الارتباط كما يتم تخزينه على نظام الملفات ليتم قراءته بنجاح. تعتبر مشكلة عدم حصانة المنطقة التي يمكن أن تسمح بمناسبة صفحة ويب بشكل غير صحيح أن تكون في منطقة إنترانت أو في بعض الحالات النادرة للغاية في منطقة المواقع الموثوق بها. يمكن للمهاجم إنشاء صفحة ويب تستغل هذه الضعف وتحاول إغراء المستخدم لزيارة صفحة الويب. إذا نجحت الهجوم، فسيتم تشغيل الصفحة مع قيود أمنية أقل مما هو مناسب. اثنان من المتغيرات من ضعف "التصرف المحتوي" الذي تمت مناقشته في نشرة أمان Microsoft MS01-058 التي تؤثر على كيفية معالجة التنزيلات عند معالجة محتوى الملفات القابلة للتنزيل ورؤوس نوع المحتوى عن قصد. في مثل هذه الحالة، من الممكن أن نعتقد أن الملف هو نوع آمن للمناولة التلقائية، عندما يكون ذلك محتوى قابل للتنفيذ. يمكن للمهاجم أن يسعى إلى استغلال هذه الضعف من خلال بناء صفحة ويب مشوهة خصيصا ونشر ملف قابل للتنفيذ مشوهة. يمكنه بعد ذلك نشر صفحة الويب أو إرسالها إلى الهدف المقصود. تختلف هذان المتغيران الجديدان من الضعف الأصلي في أنهم لنظام أن يكونوا معرضين للخطر، يجب أن يكون له تقديم طلب موجود على أنه، عندما يتم تمرير المحتوى المشوه عن طريق الخطأ، يختار تسليمه إلى نظام التشغيل بدلا من رفعه على الفور خطا. لذلك، سيتطلب الهجوم الناجح أن يعرف المهاجم أن الضحية المقصودة لديها واحدة من هذه التطبيقات الموجودة على نظامها. أخيرا، يقدم تغيير سلوكيا إلى منطقة المواقع المحظورة. على وجه التحديد، تعطل الإطارات في منطقة المواقع المحظورة. نظرا لأن Outlook Express 6.0، Outlook 98 و Outlook 2000 مع تحديث أمان البريد الإلكتروني Outlook Outlook 2002 جميع قراءة البريد الإلكتروني في منطقة المواقع المحظورة بشكل افتراضي، فإن هذا التعزيز يعني أن هذه المنتجات تعطيل الآن إطارات HTML عبر البريد الإلكتروني افتراضيا. هذا السلوك الجديد يجعل من المستحيل على إرسال بريد إلكتروني HTML تلقائيا نافذة جديدة أو لتشغيل تنزيل ملف قابل للتنفيذ.

Microsoft Internet Explorer 5.5 SP2 التراكمي التصحيح برامج ذات صلة