| Microsoft Internet Explorer 5.5 SP1 Patch Kumulatif Pembaruan keamanan. |
Unduh sekarang |
Microsoft Internet Explorer 5.5 SP1 Patch Kumulatif Peringkat & Ringkasan
- Situs web penerbit:
- http://www.microsoft.com/
- Sistem operasi:
- Windows 98, Windows 95, Windows 2000, Windows NT, Windows XP
Microsoft Internet Explorer 5.5 SP1 Patch Kumulatif Tag
Microsoft Internet Explorer 5.5 SP1 Patch Kumulatif Keterangan
Dari Microsoft: Ini adalah tambalan kumulatif yang mencakup fungsionalitas dari semua tambalan yang dirilis sebelumnya untuk IE 5.01, 5.5 dan 6.0. Selain itu, ini menghilangkan enam kerentanan yang baru ditemukan berikut: kerentanan skrip lintas situs di sumber daya HTML lokal. Yaitu kapal dengan beberapa file yang berisi HTML pada sistem file lokal untuk menyediakan fungsionalitas. Salah satu file ini berisi kerentanan skrip lintas situs yang dapat memungkinkan skrip untuk dieksekusi seolah-olah dijalankan oleh pengguna sendiri, menyebabkannya berjalan di zona komputer lokal. Seorang penyerang dapat membuat halaman web dengan URL yang mengeksploitasi kerentanan ini dan kemudian meng-host halaman itu di server web atau mengirimkannya sebagai email HTML. Ketika halaman web dilihat dan pengguna mengklik tautan URL, skrip penyerang disuntikkan ke sumber daya lokal, skrip penyerang akan berjalan di zona komputer lokal, memungkinkannya untuk berjalan dengan batasan yang lebih sedikit daripada yang seharusnya. Kerentanan pengungkapan informasi yang terkait dengan penggunaan AM HTML Object menyediakan dukungan untuk lembar gaya cascading yang dapat memungkinkan penyerang membaca, tetapi tidak menambah, menghapus atau mengubah, data pada sistem lokal. Seorang penyerang dapat membuat halaman web yang mengeksploitasi kerentanan ini dan kemudian host halaman itu di server web atau kirimkan sebagai email HTML. Ketika halaman dilihat, elemen akan dipanggil. Namun, berhasil mengeksploitasi kerentanan ini, diperlukan pengetahuan yang tepat tentang lokasi file yang dimaksudkan untuk dibaca pada sistem pengguna. Selanjutnya, diperlukan file yang dimaksudkan berisi karakter ASCII parcicular tunggal. Kerentanan pengungkapan informasi terkait dengan penanganan skrip dalam cookie yang dapat memungkinkan satu situs untuk membaca cookie yang lain. Seorang penyerang dapat membangun cookie khusus yang berisi skrip dan kemudian membangun halaman web dengan hyperlink yang akan mengirimkan cookie itu ke sistem pengguna dan memohonnya. Dia kemudian dapat mengirim halaman web itu sebagai surat atau mempostingnya di server. Ketika pengguna mengklik hyperlink dan halaman itu memunculkan skrip di cookie, itu berpotensi membaca atau mengubah cookie situs lain. Namun, berhasil mengeksploitasi ini, bagaimanapun, akan mengharuskan penyerang mengetahui nama persis cookie sebagaimana disimpan pada sistem file yang berhasil dibaca. Kerentanan spoofing zona yang dapat memungkinkan halaman web tidak diperhitungkan di zona intranet atau, dalam beberapa kasus yang sangat jarang, di zona situs tepercaya. Seorang penyerang dapat membangun halaman web yang mengeksploitasi kerentanan ini dan berupaya memikat pengguna untuk mengunjungi halaman web. Jika serangan itu berhasil, halaman akan dijalankan dengan pembatasan keamanan lebih sedikit daripada yang sesuai. Dua varian dari kerentanan "disposisi konten" yang dibahas dalam Bulletin Security Microsoft MS01-058 Mempengaruhi Bagaimana IE menangani unduhan ketika disposisi konten dan tajuk konten file yang dapat diunduh secara sengaja muncul. Dalam kasus seperti itu, adalah mungkin untuk saya percaya bahwa file adalah jenis aman untuk penanganan otomatis, padahal sebenarnya itu adalah konten yang dapat dieksekusi. Seorang penyerang dapat berupaya mengeksploitasi kerentanan ini dengan membangun halaman web yang cacat khusus dan memposting file yang dapat dieksekusi yang cacat. Dia kemudian dapat memposting halaman web atau mengirimkannya ke target yang dituju. Dua varian baru ini berbeda dari kerentanan asli bahwa mereka untuk sistem yang rentan, ia harus menyajikan aplikasi yang hadir bahwa, ketika keliru lulus konten yang cacat, memilih untuk mengembalikannya ke sistem operasi daripada segera naikkan kesalahan. Oleh karena itu, serangan yang sukses akan mengharuskan penyerang tahu bahwa korban yang dimaksud memiliki salah satu aplikasi ini dalam sistem mereka. Akhirnya, itu memperkenalkan perubahan perilaku ke zona situs terbatas. Secara khusus, itu menonaktifkan bingkai di zona situs terbatas. Sejak Outlook Express 6.0, Outlook 98 dan Outlook 2000 dengan pembaruan keamanan email Outlook dan Outlook 2002 semua baca email di zona situs terbatas secara default, peningkatan ini berarti bahwa produk-produk tersebut sekarang secara efektif menonaktifkan frame dalam email HTML secara efektif. Perilaku baru ini membuatnya tidak mungkin untuk email HTML untuk secara otomatis membuka jendela baru atau untuk meluncurkan pengunduhan yang dapat dieksekusi.
Microsoft Internet Explorer 5.5 SP1 Patch Kumulatif Perangkat Lunak Terkait