Microsoft 安全性摘要報告 (912945)

Internet Explorer 非安全性更新

發行: 2006年2月28日 | 更新: 2006年3月29日

Microsoft 於 2006 年 2 月 28 日已發佈安全性摘要報告，內容討論 Internet Explorer 的非安全性更新 912945。此非安全更新包括 Internet Explorer 對於處理某些使用 ActiveX 控制項及分階段發佈給客戶的網頁的處理方式之細微變更。在 2006 年 1 月 9 日，Microsoft 針對 MSDN 訂閱者發佈適用於 Windows XP SP2 的非安全性更新。在 2006 年 2 月 9 日，同一個更新在 MSDN 上供大家下載。在 2 月 28 日，在 Windows Update 上發佈為「建議更新」。

對於發佈的最後階段，此非安全性更新將納入下一次的 Internet Explorer 積存安全性更新。此更新將可解決 Microsoft 安全性摘要報告 917077 中詳述的重大弱點-- HTML 物件對未預期方法呼叫的處理方式中所存在的弱點，可能會允許遠端執行程式碼。此安全性更新目前正處於測試階段，以確保品質與應用程式相容性，並能如期於 2006 年 4 月 11 日的 4 月份安全性更新中發行 (發行時間可能提前)。

雖然大部分的網際網路站台已為 Internet Explorer 處理某些 ActiveX 控制項的方式的變更作好準備，但仍有企業客戶反應需要更多時間以確保公司特定業務應用程式可與 Internet Explorer 的變更相容。

為了協助需要更多時間準備此更新的企業客戶，Microsoft 將發行「相容性補充程式」。此「相容性補充程式」將與下一次的「Internet Explorer 安全性更新」於同一天發佈。一旦部署完成，「相容性補充程式」將把 Internet Explorer 暫時回復到先前的功能，以便處理 ActiveX 控制項。「相容性補充程式」將開始運作直到 4 月份安全性版本之後發行的 Internet Explorer 安全性更新，屆時 Internet Explorer 對於 ActiveX 控制項的處理方式將為永遠變更。

更新 912945 可以從下載中心和 Windows Update (顯示在 [軟體，選用]) 中取得。如需更多關於此更新的相關資訊，請參閱 Microsoft 知識庫文件編號 912945。此更新與 2006 年 2 月 14 日發行的更新不同，該更新屬於 Microsoft 安全性更新 MS06-004。

Microsoft 知識庫文件編號 912945 與附隨的非安全性更新適用於下列軟體：

Microsoft Windows XP Service Pack 2 中的 Internet Explorer
Microsoft Windows Server 2003 Service Pack 1 中的 Internet Explorer

Microsoft 安全性公告 MS06-004 與附隨的安全性更新 (發行於 2006 年 2 月 14 日) 適用於下列軟體：

Microsoft Windows 2000 Service Pack 4 中的 Internet Explorer 5.01 Service Pack 4

一般資訊

概觀

參照	識別
Microsoft 知識庫文件編號	910620
Microsoft 安全性公告	MS06-004
Microsoft 知識庫文件編號	912945


相關軟體
Microsoft Windows 2000 Service Pack 4 中的 Internet Explorer 5.01 Service Pack 4
Microsoft Windows XP Service Pack 2 中的 Internet Explorer
Microsoft Windows Server 2003 Service Pack 1 中的 Internet Explorer

常見問題集

摘要報告的範圍為何？
本摘要報告的兩個目的：

說明 2 月 14 日與 2 月 28 日發行之更新分別適用於不同版本的 Internet Explorer，並解釋兩者差異之處。
確定客戶瞭解部署 2006 年 2 月 28 日之非安全性更新後，Microsoft Baseline Security Analyzer (MBSA) 1.2 和 Systems Management Server (SMS) 2.0 使用上可能會遭遇的問題。

套用此更新後，ActiveX 控制項在操作上有何變更？
有了此更新，客戶將可與在某些網頁載入的 Microsoft ActiveX 控制項互動，但只限於在手動啟用自己的使用者介面之後。只要按一下使用者介面，或使用 TAB 鍵及 ENTER 鍵，即可手動啟用。

這兩種更新分別適用於哪些版本的 Internet Explorer？
Microsoft 知識庫文件編號 912945 與附隨的非安全性更新適用於 Microsoft Windows XP Service Pack 2 中的 Internet Explorer 與 Microsoft Windows Server 2003 Service Pack 1 中的 Internet Explorer。

2006 年 2 月 14 日發行的 Microsoft 安全性公告 MS06-004 與附隨的安全性更新適用於 Microsoft Windows 2000 Service Pack 4 中的 Internet Explorer 5.01 Service Pack 4。

為何 Microsoft 要變更 ActiveX 控制項在 Internet Explorer 中的行為？
此 Internet Explorer 技術的更新與 Microsoft 牽涉 Eolas Technologies 與加州大學董事訴訟 Microsoft 專利案 (Eolas 對 Microsoft) 有關。 Microsoft 正在分階段發佈此更新，以讓網站開發人員能較早存取新的 ActiveX 功能，以便進行測試並提供意見。

Microsoft 為什麼為了這點發行摘要公告？
本摘要公告有兩個目的。我們希望協助客戶瞭解安全性更新與非安全性更新的差異。此外，我們希望說明此非安全性更新取代 MS05-054 附隨的安全性更新；而 912945 會由之後的 Microsoft 安全性公告取代，這影響的程式包含 Microsoft Windows XP Service Pack 2 中的 Internet Explorer 與 Microsoft Windows Server 2003 Service Pack 1 中的 Internet Explorer。

更新 912945 是否取代之前的 Internet Explorer Microsoft 安全性公告更新？
是。更新 912945 將取代 MS05-054 附隨的安全性更新，以及之前所有針對下列程式的安全性更新：Microsoft Windows XP Service Pack 2 中的 Internet Explorer 與 Microsoft Windows Server 2003 Service Pack 1 中的 Internet Explorer。

後續的 Internet Explorer Microsoft 安全性公告更新是否會取代更新 912945？
是。 912945 將由 Microsoft 後續安全性更新中附隨的安全性公告取代，適用下列程式：Microsoft Windows XP Service Pack 2 中的 Internet Explorer 與 Microsoft Windows Server 2003 Service Pack 1 中的 Internet Explorer。

如果我安裝更新 912945，MBSA 會提出什麼報告？
如果安裝了 912945，MBSA 1.2 可能會顯示一系列大於預期的警告，且可能會回報表示需要 MS05-054 與 MS05-049。這不表示系統具有安全性弱點。因為 MBSA 1.2 不支援安全性摘要公告與非安全性更新，因此這個狀況已在預料之內。 MBSA 2.0 將會回報正確結果。

我使用 SMS 2.0 來部署更新，如果我為更新 912945 建立 SMS 套件以進行部署，會發生什麼事？
SMS 2.0 使用與 MBSA 1.2 相同的技術，因此我們不建議您部署更新，否則您的 SMS 2.0 系統可能會不斷回報表示需要 MS05-054 與 MS05-049。請僅在測試部署對環境的影響、並瞭解潛在問題後，才使用 SMS 2.0 部署更新 912945。請注意，SMS 2003 使用不受此問題影響。

更新 912945 發行方式為何？
更新 912945 可以從下載中心和 Windows Update (顯示在 [軟體，選用]) 中取得。如需更多資訊，請參閱 Microsoft 知識庫文件編號 912945。

建議動作

其他資訊

資源：

您可以造訪這個網站填寫表格，提供意見反應。
美國及加拿大地區客戶可聯繫 Microsoft 技術支援服務以取得技術支援。如需更多可用支援選擇的資訊，請參閱 Microsoft 技術支援服務網站。
不同國家的客戶，可以從當地的 Microsoft 分公司取得支援。如需更多關於連絡 Microsoft 國際技術支援的資訊，請造訪世界各地技術支援網站。
Microsoft TechNet 資訊安全網站提供了有關 Microsoft 產品安全性的其他資訊。

免責聲明：

本摘要報告中的資訊係以其「現狀」提供，並不提供任何形式之擔保。 Microsoft 不做任何明示或默示的責任擔保，包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害，Microsoft Corporation 及其供應商皆不負任何法律責任，包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任，因此前述限制不適用於這些地區。

修訂：

2006 年 2 月 28 日：摘要報告發行。
2006 年 3 月23 日：更新摘要公告，以強調客戶可以下載更新的位置。
2006 年 3 月 29 日：更新摘要報告，以指出此非安全性更新將隨附於 IE 安全性更新，且下一版的安全性更新將可解決 Microsoft 安全性摘要報告 917077 中詳述的問題。並且，此摘要報告已更新，以便通知客戶將有「相容性補充程式」，它為把 IE 暫時回復到先前的功能，以便處理 ActiveX 控制項。