• 發行項

安全性布告欄

Microsoft 安全性公告 MS04-038 - 重大

Internet Explorer 的累積安全性更新 (834707)

發佈時間: 2004 年 10 月 12 日 |更新日期:2004 年 11 月 9 日

版本: 1.1

發行日期: 2004 年 10 月 12 日
更新日期: 2004 年 11 月 9 日
版本: 1.1

摘要

神秘 應該閱讀這份檔:使用 Microsoft Windows 的客戶

弱點的影響: 遠端程式代碼執行

最大嚴重性評等: 重大

建議: 客戶應立即安裝更新。

安全性更新取代: 此更新會取代 Microsoft 安全性布告欄 MS04-025 隨附的更新。 該更新也是累積更新。

注意:Microsoft 知識庫文章834707 記載客戶安裝此安全性更新時可能會遇到的目前已知問題。 本文也記載了這些問題的建議解決方案。

此更新可能不包含自 MS04-004 或 MS04-025 發行以來已發行的 Hotfix。 自 MS04-004 或 MS04-025 發行後收到 Microsoft 或其支援提供者 Hotfix 的客戶,應檢閱此更新的常見問題一節,以判斷此更新如何影響其操作系統。

此更新包含數項功能和安全性變更,這些變更記載於此更新的常見問題一節中。

測試的軟體與安全性更新下載位置:

受影響的軟體:

  • Microsoft Windows NT Server 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 終端機伺服器版本 Service Pack 6
  • Microsoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows XP、Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP 64 位版本 Service Pack 1
  • Microsoft Windows XP 64 位版本 2003
  • Microsoft Windows Server 2003
  • Microsoft Windows Server 2003 64 位版本
  • Microsoft Windows 98、Microsoft Windows 98 第二版(SE)和 Microsoft Windows Millennium Edition (Me) - 如需這些操作系統的詳細資訊,請檢閱本公告的常見問題一節。

受影響的元件:

  • Windows 2000 SP3 上的 Internet Explorer 5.01 Service Pack 3: 下載更新。
  • Windows 2000 SP4 上的 Internet Explorer 5.01 Service Pack 4: 下載更新。
  • Microsoft Windows Me 上的 Internet Explorer 5.5 Service Pack 2: 下載更新。
  • Windows XP 上的 Internet Explorer 6: 下載更新。
  • Microsoft Windows 2000 Service Pack 3、Microsoft Windows 2000 Service Pack 4、Microsoft Windows XP 或 Microsoft Windows XP Service Pack 1 上的 Internet Explorer 6 Service Pack 1: 下載更新。
  • Microsoft Windows NT Server 4.0 Service Pack 6a 上的 Internet Explorer 6 Service Pack 1、Microsoft Windows NT Server 4.0 終端機 Service Pack 6、Microsoft Windows 98 SE 或 Microsoft Windows Me 上的 Internet Explorer 6 Service Pack 6:下載更新。
  • 適用於 Windows XP Service Pack 1 的 Internet Explorer 6 (64 位版本): 下載更新。
  • 適用於 Windows Server 2003 的 Internet Explorer 6: 下載更新。
  • 適用於 Windows Server 2003 64 位版本和 Windows XP 64 位版本 2003 的 Internet Explorer 6: 下載更新。
  • 適用於 Windows XP Service Pack 2 的 Internet Explorer 6: 下載更新。

此清單中的軟體已經過測試,以判斷版本是否受到影響。 其他版本可能不再包含安全性更新支援,或可能不會受到影響。 若要判斷產品與版本的支援週期,請流覽 Microsoft 支援服務 生命周期網站

一般資訊

執行摘要

摘要:

此更新可解決數個新發現的公開和私下回報的弱點。 每個弱點都會記錄在此布告欄內,其本身的弱點詳細數據一節。

如果使用者以系統管理許可權登入,成功利用這些弱點最嚴重之攻擊者可能會完全控制受影響的系統,包括安裝程式:檢視、變更或刪除數據;或建立具有完整許可權的新帳戶。 其帳戶設定為在系統上擁有較少許可權的使用者,其風險會比具有系統管理許可權的使用者少。

Microsoft 建議客戶立即安裝更新。

嚴重性評等和弱點標識碼:

弱點標識碼 弱點的影響 Internet Explorer 5.01 SP3、SP4 Internet Explorer 5.5 SP2 Internet Explorer 6 Internet Explorer 6 SP1 (Windows Server 2003 之前的所有版本) 適用於 Windows Server 2003 的 Internet Explorer 6 (包括 64 位版本) Windows XP Service Pack 2 上的 Internet Explorer 6
級聯樣式表 (CSS) 堆積記憶體損毀弱點 - CAN-2004-0842 遠端程式代碼執行\ 重大 重大 重大 重大
類似的方法名稱重新導向跨網域弱點 - CAN-2004-0727 遠端程式代碼執行\ 關鍵\ 關鍵\ 關鍵\ 關鍵\ 中等
安裝引擎弱點 - CAN-2004-0216 遠端程式代碼執行\ 關鍵\ 關鍵\ 關鍵\ 關鍵\ 中等
拖放弱點 - CAN-2004-0839 遠端程式代碼執行 重要\ 重要\ 重要\ 重要\ 中等 重要
雙位元組位元集地區設定弱點上的位址列詐騙 - CAN-2004-0844 洩露資訊 沒有\ 沒有\ 沒有\ 重要\ 重要\
外掛程式導覽位址列詐騙弱點 - CAN-2004-0843 洩露資訊 重要\ 重要 重要 中等
映射卷標檔案下載弱點中的腳本 - CAN-2004-0841 遠端程式代碼執行\ 重要\ 重要\ 重要\ 重要\ 中等
SSL 快取弱點 - CAN-2004-0845 洩露資訊 中等 中等 中等 中等 中等
匯總所有弱點的嚴重性 重大 重大 重大 重大 重要 重要

評估 是以受弱點影響的系統類型、其一般部署模式,以及惡意探索弱點會對它們造成的影響為基礎。

為什麼此更新可解決數個回報的安全性弱點?
此更新包含數個弱點的支持,因為解決這些問題所需的修改位於相關檔案中。 客戶只能安裝此更新,而不需要安裝幾乎相同的數個更新。

此版本會取代哪些更新?
此安全性更新會取代數個先前的安全性公告。 下表列出受影響的安全性公告標識碼和 Internet Explorer 版本。

公告標識碼 Internet Explorer 5.01 SP3、SP4 Internet Explorer 5.5 SP2 Internet Explorer 6 Internet Explorer 6 SP1 (Windows Server 2003 之前的所有版本) 適用於 Windows Server 2003 的 Internet Explorer 6 (包括 64 位版本) Windows XP Service Pack 2 上的 Internet Explorer 6
MS04-025 Replaced Replaced Replaced Replaced Replaced 不適用

自 MS04-004 版本起,我已收到 Microsoft 或支援提供者的 Hotfix。 此安全性更新中包含該 Hotfix 嗎?
針對適用於 Windows 2000 Service Pack 3 的 Internet Explorer 6 Service Pack 1, Windows 2000 Service Pack 4、Windows XP、Windows XP Service Pack 1、Windows NT Server 4.0 Service Pack 6a、Windows NT Server 4.0 Terminal Server Edition Service Pack 6、Windows 98、Windows 98 Second Edition 和 Windows Me,大部分的 Internet Explorer Hotfix 不會包含在 MS04-038 安全性更新中。 當您安裝 Internet Explorer 6 SP1 的任何 MS04-038 安全性更新時,如果 Hotfix 已取代此公告的「安全性更新資訊」一節所列的任何檔案,則會移除自 MS04-004 起發行的 Internet Explorer Hotfix。

MS04-025 開始,Internet Explorer 的累積 Hotfix 可在個別的更新匯總中取得,其中包含 Internet Explorer 最新安全性更新中包含的累積 Hotfix 和安全性修正。 例如,更新匯總 871260 包含 MS04-025 中的累積安全性修正,以及 MS04-004 之後發行的 Hotfix。 更新匯總 873377 包含 MS04-038 中的累積安全性修正,以及 MS04-004 之後發行的 Hotfix。 如需更新匯總 873377中包含的 Hotfix 的其他資訊,以及有關如何取得和部署更新匯總的指示,請連絡您的 Microsoft 支援提供者,或檢閱 Microsoft 知識庫文章 873377

針對 Microsoft Windows XP Service Pack 2、Windows Server 2003 和 Windows 64 位版本 2003 的 Internet Explorer 6,此安全性更新包含 MS04-025 隨附或之後的 Hotfix,以及此更新中解決之所有安全性問題的修正程式。 不過,只有在您先前已安裝 Internet Explorer Hotfix 以更新此公告的「安全性更新資訊」一節中列出的任何檔案時,才會安裝此安全性更新中包含的檔案 Hotfix 版本。

針對 Internet Explorer 5.01、Internet Explorer 5.5 SP2 和適用於 Windows XP 的 Internet Explorer 6,MS04-038 安全性更新包含 MS04-004 之後所包含的 Hotfix,以及 MS04-025 之後所包含的 Hotfix,以及 MS04-038 中的累積安全性修正。 不論您先前是否已安裝 Internet Explorer Hotfix,都會安裝此安全性更新中包含的檔案 Hotfix 版本,以更新本公告的「安全性更新資訊」一節中列出的任何檔案。

此更新是否包含對功能的任何其他變更?
是。 除了此公告的 [弱點詳細數據] 區段中所列的變更之外,此更新還包含下列功能變更:

  • 如同先前自 MS03-004發行的 Internet Explorer 累積安全性 更新,如果您尚未套用 HTML 說明更新,此更新會導致 window.showHelp( ) 控制件無法再運作。 如果您已安裝 Microsoft 知識庫文章 811630 的已更新 HTML 說明控件,則安裝此更新之後仍可使用 HTML 說明功能。
  • 如同先前的 Internet Explorer 累積安全性更新 MS04-004,此更新可防止您流覽具有 XMLHTTP 之「用戶名稱:password@host.com」URL 的網站。 我們已建立 MSXML 的更新,以特別針對 XMLHTTP 解決此問題。 如需詳細資訊,請參閱 Microsoft 知識庫文章 832414

此更新是否包含任何其他安全性變更?
是。 除了此公告的 [弱點詳細數據] 區段中所列的變更之外,此更新還包含下列安全性變更。

  • 此更新會設定 Hrtbeat.ocx ActiveX 控件的終止位 。 此控制項會實作 MSN 相關網站中在線遊戲的支援。 Internet Explorer 不再支援此控件。 找到此控制件包含安全性弱點。 為了協助保護已安裝此控制件的客戶,此更新會藉由設定 控件的終止位,防止控件執行或重新引入用戶的系統。 如需終止位的詳細資訊,請參閱 Microsoft 知識庫文章 240797

  • 此更新會使用 showHelp 方法,精簡從因特網開啟 HTML 說明檔時所做的安全性驗證。 這些變更可防止因特網區域中的網頁流覽至本機系統上的 HTML 說明檔。

  • 更新會修復 Windows XP 上 Internet Explorer 上「拖放或複製及貼上檔案」安全性設定的行為。 如果此設定設為 [停用] 或 [提示 Windows XP 上的特定區域],則不會在拖曳、卸除、複製或貼上檔案時停用、卸除、複製或貼上檔案,如已針對此設定所做的變更,以符合所記載的行為。

  • 此更新會增加拖放事件中使用的影像元素驗證檢查。 如果拖放事件中的專案不是有效的影像,將會封鎖此作業。 此變更的詳細資訊包含在 Microsoft 知識庫文章887614

  • 此更新會增加函式指標的驗證檢查。 當事件處理程式直接 指向文件物件模型 (DOM) 函式時,就會發生此增加的驗證。 如需詳細資訊,以及因應此增加驗證檢查的方法,請參閱 Microsoft 知識庫文章887741

  • 如同先前自 MS04-004發行的 Internet Explorer 累積安全性 更新,此更新也包含對 Internet Explorer 中純文本驗證功能功能的變更。 更新會移除在 MICROSOFT Internet Explorer 中使用安全套接字層 (SSL) 或 HTTPS URL 處理 HTTP 和 HTTP 中使用者名稱和密碼的支援。 安裝此軟體更新之後,Internet Explorer 或 Windows Explorer 不再支援下列 URL 語法:

    http(s)://username:password@server/resource.ext

    如需這項變更的詳細資訊,請參閱 Microsoft 知識庫文章 834489

Windows 98、Windows 98 第二版和 Windows Millennium Edition 的延伸支援如何影響這些操作系統的安全性更新版本?
Microsoft 只會針對重大安全性問題發行安全性更新。 此支持期間不提供非重大安全性問題。 如需這些操作系統 Microsoft 支援服務 生命周期原則的詳細資訊,請流覽此 Microsoft 支援服務 網站

如需嚴重性評等的詳細資訊,請流覽下列 Microsoft TechNet 網站

注意 這些平臺的重要安全性更新可能無法與在此安全性公告中提供的其他安全性更新同時提供。 發行之後,將會儘快提供它們。 當這些安全性更新可供使用時,您就只能從 Microsoft Update 網站下載這些更新。

Windows 98、Windows 98 第二版或 Windows Millennium Edition 是否受到此安全性公告中解決的任何弱點嚴重影響?
是。 Windows 98、Windows 98 Second Edition 和 Windows Millennium Edition 受到此弱點的嚴重影響。 這些平臺的重要安全性更新可能無法與在此安全性公告中提供的其他安全性更新同時提供。 發行之後,將會儘快提供它們。 當這些安全性更新可供使用時,您就只能從 Windows Update 網站下載這些更新。 如需嚴重性評等的詳細資訊,請流覽下列 網站

我仍在使用 Microsoft Windows NT 4.0 工作站 Service Pack 6a 或 Windows 2000 Service Pack 2,但延伸的安全性更新支援已於 2004 年 6 月 30 日終止。 我該怎麼做?
Windows NT 4.0 工作站 Service Pack 6a 和 Windows 2000 Service Pack 2 已如先前所述的生命周期結束,Microsoft 已將此支援延伸至 2004 年 6 月 30 日。

對於擁有這些操作系統版本以移轉至支援版本的客戶而言,這應該是一個優先順序,以避免未來可能暴露在弱點。 如需 Windows 產品生命週期的詳細資訊,請流覽 Microsoft 支援服務 生命週期網站。 如需這些操作系統版本延長安全性更新支援期間的詳細資訊,請流覽 Microsoft 產品支援服務網站

需要 Windows NT 工作站 4.0 SP6a 額外支援的客戶,必須連絡其 Microsoft 帳戶小組代表、技術帳戶管理員,或適當的 Microsoft 合作夥伴代表,以取得自定義支援選項。 沒有聯盟、頂級或授權合約的客戶可以連絡其當地 Microsoft 銷售辦公室。 如需連絡資訊,請流覽 Microsoft 全球資訊網站,選取國家/地區,然後按兩下 [移至 ] 以查看電話號碼清單。 當您打電話時,請要求與當地頂級支援銷售經理交談。

如需詳細資訊,請參閱 Windows 作業系統常見問題

我仍在使用 Windows XP,但延伸安全性更新支援已於 2004 年 9 月 30 日結束。 不過,此公告有此操作系統版本的安全性更新。 這是為什麼?

原始版本的 Windows XP,通常稱為 Windows XP Gold 或 Windows XP Release to Manufacturing (RTM) 版本,已於 2004 年 9 月 30 日終止其延伸安全性更新支援生命週期。 然而,生命結束最近發生了。 在此情況下,解決此弱點所需的大部分步驟都在此日期之前完成。 因此,我們已決定在此安全性公告中發行此操作系統版本的安全性更新。 我們預計不會針對影響此操作系統版本的未來弱點執行這項操作,但我們保留產生更新的權利,並在必要時提供這些更新。 對於此操作系統版本移轉至支援的操作系統版本,以防止潛在暴露在弱點的客戶而言,這應該是優先順序。 如需 Windows Service Pack 產品生命週期的詳細資訊,請流覽下列 Microsoft 支援服務 生命週期網站。 如需 Windows 產品生命週期的詳細資訊,請流覽下列 Microsoft 支援服務 生命週期網站

如需詳細資訊,請參閱 Windows 作業系統常見問題

相較於上次 Internet Explorer 累積安全性更新 MS04-025,為什麼命令行安裝參數與 Internet Explorer 5.01 和 Internet Explorer 6.0 SP1 套件在 Windows 2000 和 Windows XP 操作系統上的 Internet Explorer 5.01 和 Internet Explorer 6.0 SP1 套件不同?
上述這些套件是使用新的安裝技術,Update.exe。 因此,安裝選項與舊版不同。 此外,在變更Update.exe安裝技術時,此更新的知識庫文章編號將不再顯示在Internet Explorer 的 [說明]、[關於] 視窗中。 如需這些版本所用命令行參數的詳細資訊,請參閱本公告的安全性更新資訊一節。 Update.exe的詳細信息位於下列 Microsoft 網站

為什麼 Internet Explorer 6 Service Pack 1 更新有兩個版本?
在 Windows NT Server Service Pack 6a、Windows 98、Windows 98SE 和 Windows Me 上使用時,已針對 Internet Explore 6 Service Pack 1 建立個別套件。 此更新使用與舊版 Iexpress 相同的安裝程序技術。 如需在這些操作系統上安裝此安全性更新的詳細資訊,請參閱本公告的安全性更新資訊小節。 Iexpress 的詳細信息位於下列 網站上

我可以使用 Microsoft 基準安全性分析器 (MBSA) 來判斷是否需要此更新嗎?
是。 MBSA 將判斷是否需要此更新。 如需 MBSA 的詳細資訊,請流覽 MBSA 網站

注意 :在 2004 年 4 月 20 日之後,MBSA 1.1.1 和舊版所使用的Mssecure.xml檔案不再以新的安全性布告欄數據更新。 因此,使用 MBSA 1.1.1 或更早版本在該日期之後執行的掃描將會不完整。 所有使用者都應該升級至 MBSA 1.2,因為它提供更精確的安全性更新偵測,並支援其他產品。 用戶可以從 MBSA 網站下載 MBSA 1.2。 如需 MBSA 支援的詳細資訊,請流覽下列 Microsoft 基準安全性分析器 1.2 Q&A;網站

我可以使用系統管理伺服器 (SMS) 來判斷是否需要此更新?
SMS 可以成功部署 Internet Explorer 所有版本的此更新,但 Internet Explorer 6 SP1 除外。 如本公告的一節所述,此版本包含 Internet Explorer 6 SP1 的兩個套件。 一個套件是針對 Windows 2000、Windows XP 和 Windows XPSP1 所設計。 此套件使用上述Update.exe安裝技術。 第二個套件是針對 Windows NT、Windows 98 和 Windows Me 所設計。 MBSA 無法判斷特定作業系統需要哪些 Internet Explorer 6 SP1 更新。 僅適用於SMS部署的套件已建立,其中包含Internet Explorer 6 SP1 更新的兩個版本。 使用 SMS 部署時,此套件會偵測作業系統,並安裝該作業系統的正確更新版本。 搭配SMS使用MBSA時,會指示SMS系統管理員部署此SMS部署套件。 如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章887437。

我在 Windows Server 2003 上執行 Internet Explorer。 這會減輕這些弱點嗎?
根據預設,Windows Server 2003 上的 Internet Explorer 會以受限制模式執行,稱為「增強式安全性設定」,可降低許多 Internet Explorer 弱點。 由於此安全性布告欄可解決多個弱點,因此會在個別弱點的 [緩和因素] 區段中指定此風險降低。

什麼是 Internet Explorer 增強式安全性設定?
Internet Explorer 增強式安全性設定是一組預先設定的 Internet Explorer 設定,可降低使用者或系統管理員在伺服器上下載和執行惡意 Web 內容的可能性。 Internet Explorer 增強式安全性設定可藉由修改許多安全性相關設定來降低此風險,包括 [安全性] 和 [因特網選項] 對話框中的 [進階] 索引卷標上的設定。 一些重要的修改包括:

  • 因特網區域的安全性層級設定為 [高]。 此設定會停用腳本、ActiveX 控制件、Microsoft Java 虛擬機 (MSJVM)、HTML 內容和檔案下載。
  • 內部網路網站的自動偵測已停用。 此設定會將未明確列在近端內部網路區域的所有內部網路網站和所有通用命名約定 (UNC) 路徑指派給因特網區域。
  • 安裝隨選和非 Microsoft 瀏覽器擴充功能已停用。 此設定可防止網頁自動安裝元件,並防止非 Microsoft 延伸模組執行。
  • 多媒體內容已停用。 此設定可防止音樂、動畫和視訊剪輯執行。

弱點詳細數據

CSS 堆積記憶體損毀弱點 - CAN-2004-0842:

Internet Explorer 中存在遠端程式代碼執行弱點,可允許受影響系統上執行遠端程序代碼。 攻擊者可以藉由建構惡意網頁來利用弱點,如果使用者瀏覽惡意網站,可能會允許遠端程式代碼執行。 成功利用此弱點的攻擊者可以完全控制受影響的系統。 不過,需要大量的用戶互動,才能利用此弱點。

降低 CSS 堆積記憶體損毀弱點的因素 - CAN-2004-0842:

  • 在 Web 型攻擊案例中,攻擊者必須裝載包含用來惡意探索此弱點之網頁的網站。 攻擊者無法強制使用者流覽惡意網站。 相反地,攻擊者必須說服他們瀏覽網站,通常是讓他們按兩下將他們帶到攻擊者網站的連結。 按兩下連結之後,系統會提示他們執行數個動作。 只有在他們執行這些動作之後,才會發生攻擊。

  • 成功惡意探索此弱點的攻擊者可能會獲得與使用者相同的許可權。 其帳戶設定為在系統上擁有較少許可權的使用者,其風險會比具有系統管理許可權的使用者少。

  • 根據預設,Outlook Express 6、Outlook 2002 和 Outlook 2003 會在 [限制的網站] 區域中開啟 HTML 電子郵件訊息。 此外,如果已安裝 Outlook 電子郵件安全性更新,Outlook 98 和 Outlook 2000 會在受限制的網站區域中開啟 HTML 電子郵件訊息。 如果已安裝 Microsoft 安全性公告 MS04-018,Outlook Express 5.5 Service Pack 2 會在受限制的網站區域中開啟 HTML 電子郵件。 受限制的網站區域可協助減少可能嘗試利用此弱點的攻擊。

    如果您符合下列所有條件,HTML 電子郵件向量的攻擊風險可能會大幅降低:

    • 安裝 Microsoft 安全性佈告欄 MS03-040 或更新版本的 Internet Explorer 累積安全性更新隨附的更新。
    • 使用 Outlook Express 5.5 Service Pack 2 或更新版本,並已套用 Microsoft 安全性公告 MS04-018 或更新版本的 Outlook Express 累積安全性更新隨附的更新。
    • 使用已安裝 Microsoft Outlook 電子郵件安全性更新的 Microsoft Outlook 98 和 Outlook 2000
    • 在預設設定中使用 Microsoft Outlook Express 6 或更新版本或 Microsoft Outlook 2000 Service Pack 2 或更新版本。

  • 根據預設,Windows Server 2003 上的 Internet Explorer 會以稱為增強式安全性設定的受限制模式執行。 此模式可減輕此弱點。 如需 Internet Explorer 增強式安全性設定的詳細資訊,請參閱此安全性更新的常見問題一節。

  • 下列產品不會受到此弱點的影響。

    • Windows XP Service Pack 2 上的 Internet Explorer 6

CSS 堆積記憶體損毀弱點的因應措施 - CAN-2004-0842:

Microsoft 已測試下列因應措施。 雖然這些因應措施不會更正基礎弱點,但它們有助於封鎖已知的攻擊媒介。 當因應措施減少功能時,其會識別如下。

  • 將 [因特網] 和 [近端內部網络] 安全性區域設定設定設定為 [高],以在因特網區域和近端內部網路區域中執行 ActiveX 控件和作用中腳本之前提示。

    您可以變更因特網安全性區域的設定,以在執行 ActiveX 控件和 Active 腳本之前提示,以協助防範這些弱點。 若要這麼做,請執行下列步驟:

    1. 在 Internet Explorer 中,單擊 [工具] 功能表上的 [因特網選項]。
    2. 按一下 [安全性] 索引標籤。
    3. 按兩下 [ 因特網],然後按兩下 [ 自定義層級]。
    4. 在 [ActiveX 控件和外掛程式] 區段中執行 ActiveX 控件和外掛程式下,按兩下 [提示]。
    5. 在 [腳本] 區段中的 [使用中腳本] 下,按兩下 [提示],然後按兩下 [確定]。
    6. 按兩下 [ 近端內部網络],然後按兩下 [ 自定義層級]。
    7. 在 [ActiveX 控件和外掛程式] 區段中執行 ActiveX 控件和外掛程式下,按兩下 [提示]。
    8. [腳本] 區段中的作用中腳本下,按兩下 [提示]。
    9. 按兩次返回 Internet Explorer。

    因應措施的影響: 在執行 ActiveX 控制項之前提示有副作用。 位於因特網或內部網路上的許多網站都會使用 ActiveX 來提供其他功能。 例如,在線電子商務網站或銀行網站可能會使用 ActiveX 控件來提供功能表、訂購表單,甚至是帳戶帳單。 在執行 ActiveX 控制件之前提示是會影響所有因特網和內部網路網站的全域設定。 當您啟用此因應措施時,會經常提示您。 針對每個提示,如果您覺得信任您瀏覽的網站,請按兩下 [ ] 以執行 ActiveX 控制件。 如果您不想提示所有這些網站,請使用「限制網站只限制信任的網站」因應措施。

  • 將網站限制為僅限您信任的網站

    將 Internet Explorer 設定為在因特網區域和近端內部網路區域中執行 ActiveX 控件和作用中腳本之前需要提示之後,您可以將信任的網站新增至 Internet Explorer 的 [信任的網站] 區域。 這可讓您像今天一樣繼續使用受信任的網站,同時協助保護您不受不受信任網站的此攻擊。 Microsoft 建議您只將信任的網站新增至 [信任的網站] 區域。

    若要這樣做,請遵循下列步驟:

    1. 在 Internet Explorer 中,按兩下 [工具],按兩下 [因特網選項],然後按兩下 [ 安全性] 索引卷標。
    2. 在 [ 選取 Web 內容區域以指定其目前的安全性設定 ] 方塊中,按兩下 [ 信任的網站],然後按兩下 [ 網站]。
    3. 如果您想要新增不需要加密通道的網站,請按下 以清除 [需要此區域 所有網站的伺服器驗證 (https:)] 複選框。
    4. 在 [ 將此網站新增至區域 ] 方塊中,輸入您信任的網站 URL,然後按兩下 [ 新增]。
    5. 針對您要新增至區域的每個網站重複這些步驟
    6. 按兩次以接受變更並返回Internet Explorer。

    新增任何您信任的網站,不要在計算機上採取惡意動作。 其中一個特別您想要新增的是 「*.windowsupdate.microsoft.com」(不含引號)。 這是將裝載更新的月臺,需要使用 ActiveX 控制件來安裝更新。

  • 如果您使用 Outlook 2000 SP1 或更早版本,請安裝 Outlook 電子郵件安全性更新

    根據預設,Outlook Express 6、Outlook 2002 和 Outlook 2003 會在 [限制的網站] 區域中開啟 HTML 電子郵件訊息。 此外,如果套用 Outlook 電子郵件安全性更新,Outlook 98 和 Outlook 2000 會在受限制的網站區域中開啟 HTML 電子郵件訊息。

    使用任何這些產品的客戶可能會面臨電子郵件傳播攻擊的風險降低,這些攻擊會嘗試利用此弱點,除非使用者按兩下電子郵件訊息中的惡意連結。

  • 如果您使用 Outlook Express 5.5 SP2,請安裝 Microsoft 安全性佈告欄MS04-018隨附的更新。

    如果已套用 Microsoft 安全性公告 MS04-018 隨附的更新,Outlook Express 5.5 Service Pack 2 會在受限制的網站區域中開啟 HTML 電子郵件。

    使用任何這些產品的客戶可能會面臨電子郵件傳播攻擊的風險降低,這些攻擊會嘗試利用此弱點,除非使用者按兩下電子郵件訊息中的惡意連結。

  • 如果您使用 Outlook 2002 或更新版本或 Outlook Express 6 SP1 或更新版本,以純文本格式讀取電子郵件訊息,以協助保護自己免受 HTML 電子郵件攻擊媒介。

    已套用 Office XP Service Pack 1 或更新版本的 Microsoft Outlook 2002 使用者和已套用 Internet Explorer 6 Service Pack 1 的 Microsoft Outlook Express 6 使用者可以啟用此設定,並檢視未以數位簽署或純文本未加密的電子郵件訊息。

    數位簽名的電子郵件訊息或加密的電子郵件訊息不會受到設定的影響,而且可能以原始格式讀取。 如需在 Outlook 2002 中啟用此設定的詳細資訊,請參閱 Microsoft 知識庫文章 307594

    如需 Outlook Express 6 中此設定的相關信息,請參閱 Microsoft 知識庫文章 291387

    因應措施的影響: 以純文本格式檢視的電子郵件訊息將不會包含圖片、特製字型、動畫或其他豐富內容。 此外:

    • 變更會套用至預覽窗格,並開啟訊息。
    • 圖片會變成附件,使其不會遺失。
    • 由於訊息在存放區中仍為 RTF 或 HTML 格式,因此物件模型(自定義程式碼解決方案)的行為可能會非預期。

CSS 堆積記憶體損毀弱點常見問題 - CAN-2004-0842:

弱點的範圍為何?
這是 緩衝區溢出 弱點。 如果使用者以系統管理許可權登入,成功惡意探索此弱點的攻擊者可能會完全控制受影響的系統,包括安裝程式;檢視、變更或刪除數據;或建立具有完整許可權的新帳戶。 其帳戶設定為在系統上擁有較少許可權的使用者,其風險會比具有系統管理許可權的使用者少。

造成弱點的原因為何?
Internet Explorer 中 CSS 處理中未核取的緩衝區。

什麼是 CSS?
級聯樣式表 (CSS) 是一種技術,可讓 Web 作者更充分掌控其網頁的設計和互動。 如需 CSS 的詳細資訊,請流覽此 Microsoft 開發人員網路 (MSDN) 網站

攻擊者如何利用弱點?
攻擊者可以藉由建立惡意網頁或 HTML 電子郵件訊息,然後說服使用者瀏覽頁面或檢視 HTML 電子郵件訊息,來惡意探索此弱點。 當使用者瀏覽頁面或檢視電子郵件訊息時,攻擊者可能會從其他網站存取資訊、存取系統上的本機檔案,或導致惡意代碼在本機登入使用者的安全性內容中執行。

哪些系統主要面臨弱點的風險?
此弱點需要使用者登入並讀取電子郵件或瀏覽網站,才能發生任何惡意動作。 因此,讀取電子郵件的任何系統,或 Internet Explorer 經常使用的位置,例如使用者的工作站或終端伺服器,都面臨此弱點的最大風險。 通常不會用來讀取電子郵件或瀏覽網站的系統,例如大部分的伺服器系統,都面臨風險降低。

Windows 98、Windows 98 第二版或 Windows Millennium Edition 是否受到此弱點嚴重影響?
是。 Windows 98、Windows 98 Second Edition 和 Windows Millennium Edition 受到此弱點的嚴重影響。 這些平臺的重要安全性更新可能無法與在此安全性公告中提供的其他安全性更新同時提供。 發行之後,將會儘快提供它們。 當這些安全性更新可供使用時,您就只能從 Windows Update 網站下載這些更新。 如需嚴重性評等的詳細資訊,請流覽此 Microsoft 網站

更新有何用途?
更新會修改 Internet Explorer 在處理 CSS 時驗證訊息長度的方式,藉以移除弱點。

發佈此安全性布告欄時,是否已公開披露此弱點?
是。 此弱點已公開披露。 它已獲指派常見弱點和暴露號碼 CAN-2004-0842。

發佈此安全性布告欄時,Microsoft 是否已收到任何有關此弱點遭到惡意探索的報告?
否。 Microsoft 尚未收到任何資訊,指出此弱點已公開用於攻擊客戶,而且在最初發佈此安全性公告時,並未看到任何發佈概念證明程式代碼的範例。

類似的方法名稱重新導向跨網域弱點 - CAN-2004-0727:

Internet Explorer 中存在跨網域安全性模型中的弱點,因為 Internet Explorer 會以具有類似名稱的函式處理導覽方法。 攻擊者可以藉由建構惡意網頁來利用此弱點,如果使用者瀏覽惡意網站,可能會允許遠端程式代碼執行。 成功利用此弱點的攻擊者可以在 Internet Explorer 的本機電腦安全性區域中執行惡意腳本程式代碼,或存取不同網域中的資訊。 在最壞的情況下,如果使用者以系統管理許可權登入,成功利用此弱點的攻擊者可能會完全控制受影響的系統。

類似方法名稱重新導向跨網域弱點的緩和因素 - CAN-2004-0727:

  • 在 Web 型攻擊案例中,攻擊者必須裝載包含用來惡意探索此弱點之網頁的網站。 攻擊者無法強制使用者流覽惡意網站。 相反地,攻擊者必須說服他們瀏覽網站,通常是讓他們按兩下將他們帶到攻擊者網站的連結。

  • 成功惡意探索此弱點的攻擊者可能會獲得與使用者相同的許可權。 其帳戶設定為在系統上擁有較少許可權的使用者,其風險會比具有系統管理許可權的使用者少。

  • 已安裝 Microsoft 安全性公告 MS04-024 中參考之更新並已安裝 ADODB 的客戶。知識庫文章 870669 中所參考的串流更新,將降低此弱點導致遠端程式代碼執行的風險。

  • 根據預設,Outlook Express 6、Outlook 2002 和 Outlook 2003 會在 [限制的網站] 區域中開啟 HTML 電子郵件訊息。 此外,如果已安裝 Outlook 電子郵件安全性更新,Outlook 98 和 Outlook 2000 會在受限制的網站區域中開啟 HTML 電子郵件訊息。 如果已安裝 Microsoft 安全性公告 MS04-018,Outlook Express 5.5 Service Pack 2 會在受限制的網站區域中開啟 HTML 電子郵件。 受限制的網站區域可協助減少可能嘗試利用此弱點的攻擊。

    如果您符合下列所有條件,HTML 電子郵件向量的攻擊風險可能會大幅降低:

    • 安裝 Microsoft 安全性佈告欄 MS03-040 或更新版本的 Internet Explorer 累積安全性更新隨附的更新。
    • 使用 Outlook Express 5.5 Service Pack 2 或更新版本,並已套用 Microsoft 安全性公告 MS04-018 或更新版本的 Outlook Express 累積安全性更新隨附的更新。
    • 使用已安裝 Microsoft Outlook 電子郵件安全性更新的 Microsoft Outlook 98 和 Outlook 2000
    • 在預設設定中使用 Microsoft Outlook Express 6 或更新版本或 Microsoft Outlook 2000 Service Pack 2 或更新版本。

  • 根據預設,Windows Server 2003 上的 Internet Explorer 會以受限制模式執行,稱為「增強式安全性設定」,可降低此弱點。 如需 Internet Explorer 增強式安全性設定的詳細資訊,請參閱此安全性更新的常見問題一節。

  • 下列產品不會受到此弱點的影響。

    • Windows XP Service Pack 2 上的 Internet Explorer 6

類似方法名稱重新導向跨網域弱點的因應措施 - CAN-2004-0727:

Microsoft 已測試下列因應措施。 雖然這些因應措施不會更正基礎弱點,但它們有助於封鎖已知的攻擊媒介。 當因應措施減少功能時,其會識別如下。

  • 將 [因特網和近端內部網络] 安全性區域設定設為 [高],以在因特網區域和近端內部網路區域中執行 ActiveX 控件和作用中腳本之前提示。

    您可以變更因特網安全性區域的設定,以在執行 ActiveX 控件和 Active 腳本之前提示,以協助防範這些弱點。 若要這麼做,請執行下列步驟:

    1. 在 Internet Explorer 中,單擊 [工具] 功能表上的 [因特網選項]。
    2. 按一下 [安全性] 索引標籤。
    3. 按兩下 [ 因特網],然後按兩下 [ 自定義層級]。
    4. 在 [ActiveX 控件和外掛程式] 區段中執行 ActiveX 控件和外掛程式下,按兩下 [提示]。
    5. 在 [腳本] 區段中的 [使用中腳本] 下,按兩下 [提示],然後按兩下 [確定]。
    6. 按兩下 [ 近端內部網络],然後按兩下 [ 自定義層級]。
    7. 在 [ActiveX 控件和外掛程式] 區段中執行 ActiveX 控件和外掛程式下,按兩下 [提示]。
    8. [腳本] 區段中的 [使用中腳本] 下,按兩下 [提示]。
    9. 按兩次返回 Internet Explorer。

    因應措施的影響: 在執行 ActiveX 控制項之前提示有副作用。 位於因特網或內部網路上的許多網站都會使用 ActiveX 來提供其他功能。 例如,在線電子商務網站或銀行網站可能會使用 ActiveX 控件來提供功能表、訂購表單,甚至是帳戶帳單。

    在執行 ActiveX 控制件之前提示是會影響所有因特網和內部網路網站的全域設定。 當您啟用此因應措施時,會經常提示您。 針對每個提示,如果您信任所瀏覽的網站,請按兩下 [ ] 以執行 ActiveX 控制件。 如果您不想提示所有這些網站,請使用「限制網站只限制信任的網站」因應措施。

  • 將網站限制為僅限您信任的網站

    將 Internet Explorer 設定為在因特網區域和近端內部網路區域中執行 ActiveX 控制件和 Active 腳本之前需要提示之後,您可以將信任的網站新增至 Internet Explorer 的 [信任的網站] 區域。 如果您這樣做,您可以像今天一樣繼續使用受信任的網站,同時協助保護您不受不受信任網站的此攻擊。 建議您只將信任的網站新增至 [信任的網站] 區域。

    若要這麼做,請執行下列步驟:

    1. 在 Internet Explorer 中,單擊 [工具] 功能表上的 [因特網選項]。
    2. 按一下 [安全性] 索引標籤。
    3. 在 [ 選取 Web 內容區域以指定其目前的安全性設定 ] 方塊中,按兩下 [ 信任的網站],然後按兩下 [ 網站]。
    4. 如果您想要新增不需要加密通道的網站,請按下 以清除 [需要此區域 所有網站的伺服器驗證 (https:)] 複選框。
    5. 在 [ 將此網站新增至區域 ] 方塊中,輸入您信任的網站 URL,然後按兩下 [ 新增]。
    6. 針對您要新增至區域的每個網站重複這些步驟
    7. 按兩次接受變更,並返回Internet Explorer。

    新增任何您信任的網站,不要在計算機上採取惡意動作。 您可能會想要將 「*.windowsupdate.microsoft.com」 (不含引號)新增至信任的網站區域。 此網站會裝載更新。 此網站會使用 ActiveX 控制件來安裝更新。

  • 加強 Internet Explorer 中本機電腦區域的安全性設定

    由於此弱點可讓攻擊者在本機計算機安全性區域中執行 HTML 程式代碼,因此使用者可以藉由限制此區域中的預設設定來降低此弱點的影響。 如需這些設定的詳細資訊,以及變更這些預設設定之潛在影響的詳細資訊,請參閱 Microsoft 知識庫文章 833633

    因應措施的影響: Microsoft 建議客戶僅將這些變更視為 Internet Explorer 安全性設定的最後手段。 如果您進行這些變更,可能會遺失某些 Windows 程式和元件的某些功能。 在生產環境中進行這些變更之前,請先廣泛測試這些變更,以確認任務關鍵性程式是否可讓所有使用者正常運作。

  • 如果您使用 Outlook 2000 SP1 或更早版本,請安裝 Outlook 電子郵件安全性更新

    根據預設,Outlook Express 6、Outlook 2002 和 Outlook 2003 會在 [限制的網站] 區域中開啟 HTML 電子郵件訊息。 此外,如果套用 Outlook 電子郵件安全性更新,Outlook 98 和 Outlook 2000 會在受限制的網站區域中開啟 HTML 電子郵件訊息。

    使用任何這些產品的客戶可能會面臨電子郵件傳播攻擊的風險降低,這些攻擊會嘗試利用此弱點,除非使用者按兩下電子郵件訊息中的惡意連結。

  • 如果您使用 Outlook Express 5.5 SP2,請安裝 Microsoft 安全性佈告欄MS04-018隨附的更新。

    如果已套用 Microsoft 安全性公告 MS04-018 隨附的更新,Outlook Express 5.5 Service Pack 2 會在受限制的網站區域中開啟 HTML 電子郵件。

    使用任何這些產品的客戶可能會面臨電子郵件傳播攻擊的風險降低,這些攻擊會嘗試利用此弱點,除非使用者按兩下電子郵件訊息中的惡意連結。

  • 如果您使用 Outlook 2002 或更新版本或 Outlook Express 6 SP1 或更新版本,以純文本格式讀取電子郵件訊息,以協助保護自己免受 HTML 電子郵件攻擊媒介。

    已套用 Office XP Service Pack 1 或更新版本的 Microsoft Outlook 2002 使用者和已套用 Internet Explorer 6 Service Pack 1 的 Microsoft Outlook Express 6 使用者可以啟用此設定,並檢視未以數位簽署或純文本未加密的電子郵件訊息。

    數位簽名的電子郵件訊息或加密的電子郵件訊息不會受到設定的影響,而且可能以原始格式讀取。 如需在 Outlook 2002 中啟用此設定的詳細資訊,請參閱 Microsoft 知識庫文章 307594

    如需 Outlook Express 6 中此設定的相關信息,請參閱 Microsoft 知識庫文章 291387

    因應措施的影響: 以純文本格式檢視的電子郵件訊息將不會包含圖片、特製字型、動畫或其他豐富內容。 此外:

    • 變更會套用至預覽窗格,並開啟訊息。
    • 圖片會變成附件,使其不會遺失。
    • 由於訊息在存放區中仍為 RTF 或 HTML 格式,因此物件模型(自定義程式碼解決方案)的行為可能會非預期。

類似方法名稱重新導向跨網域弱點的常見問題 - CAN-2004-0727:

弱點的範圍為何?
跨網域安全性模型中的弱點存在於 Internet Explorer 中,因為其處理導覽方法的方式是由具有類似名稱的函式處理。 攻擊者可以藉由建構惡意網頁來利用弱點,如果使用者瀏覽惡意網站,可能會允許遠端程式代碼執行。 成功利用此弱點的攻擊者可以在 Internet Explorer 的本機電腦安全性區域中執行惡意腳本程式代碼,或存取不同網域中的資訊。 在最壞的情況下,如果使用者以系統管理許可權登入,成功利用此弱點的攻擊者可能會完全控制受影響的系統。 其帳戶設定為在系統上擁有較少許可權的使用者,其風險會比具有系統管理許可權的使用者少。

造成弱點的原因為何?
Internet Explorer 跨網域安全性模型用來驗證具有類似函式名稱的流覽方法的程式。

Internet Explorer 使用的跨網域安全性模型為何?
瀏覽器的其中一個主要安全性功能是確保受不同網站控制下的瀏覽器視窗無法互相干擾或存取彼此的數據,同時允許來自相同網站的視窗彼此互動。 為了區分合作與非合作瀏覽器視窗,已建立「網域」的概念。 網域是安全性界限 - 相同網域內的任何開啟視窗都可以彼此互動,但來自不同網域的視窗無法互動。 跨網域安全性模型是安全性架構的一部分,可讓視窗遠離不同的網域彼此干擾。

網域的最簡單範例與網站相關聯。 如果您瀏覽 https://www.wingtiptoys.com,而且它會開啟的視窗,https://www.wingtiptoys.com/security則兩個視窗可以彼此互動,因為這兩個網站都屬於相同的網域。 https://www.wingtiptoys.com 不過,如果您流覽 https://www.wingtiptoys.com過 ,而且它會開啟不同網站的視窗,跨網域安全性模型會保護兩個視窗彼此的防護。 這個概念進一步。 本機電腦上的文件系統也是網域。 例如, https://www.wingtiptoys.com 可以開啟視窗,並在硬碟上顯示檔案。 不過,由於您的本機文件系統位於與網站不同的網域中,跨網域安全性模型應該會防止網站讀取正在顯示的檔案。

Internet Explorer 跨網域安全性模型可以使用 Internet Explorer 中的安全性區域設定來設定。

什麼是 Internet Explorer 安全性區域?
Internet Explorer 安全性區域是將在線內容分割成以內容可信度為基礎的類別或區域之系統的一部分。 特定 Web 網域可以指派給區域,視每個網域的內容中放置多少信任而定。 然後,區域會根據區域的原則來限制 Web 內容的功能。 根據預設,大部分因特網網域都會被視為因特網區域的一部分。 根據預設,因特網區域的原則會防止腳本和其他使用中的程式代碼存取本機系統上的資源。

攻擊者可能會使用弱點來執行哪些動作?
成功惡意探索此弱點的攻擊者可能會在 Internet Explorer 的本機電腦安全性區域中執行惡意腳本程式代碼。 這可讓攻擊者完全控制受影響的系統。

攻擊者如何利用弱點?
攻擊者可以藉由建立惡意網頁或 HTML 電子郵件訊息,然後說服使用者瀏覽此頁面或檢視 HTML 電子郵件訊息,來惡意探索此弱點。 當使用者瀏覽頁面或檢視電子郵件訊息時,攻擊者可以從其他網站存取資訊、存取系統上的本機檔案,或導致腳本在本機計算機安全性區域的安全性內容中執行。

哪些系統主要面臨弱點的風險?
此弱點需要使用者登入並讀取電子郵件或瀏覽網站,才能發生任何惡意動作。 因此,讀取電子郵件的任何系統,或 Internet Explorer 經常使用的位置,例如使用者的工作站或終端伺服器,都面臨此弱點的最大風險。 通常不會用來讀取電子郵件或瀏覽網站的系統,例如大部分的伺服器系統,都面臨風險降低。

Windows 98、Windows 98 第二版或 Windows Millennium Edition 是否受到此弱點嚴重影響?
是。 Windows 98、Windows 98 Second Edition 和 Windows Millennium Edition 受到此弱點的嚴重影響。 這些平臺的重要安全性更新可能無法與在此安全性公告中提供的其他安全性更新同時提供。 發行之後,將會儘快提供它們。 當這些安全性更新可供使用時,您就只能從 Windows Update 網站下載這些更新。 如需嚴重性評等的詳細資訊,請流覽此 Microsoft 網站

此弱點是否可以透過因特網惡意探索?
是。 攻擊者可能能夠透過因特網利用此弱點。 Microsoft 提供如何協助保護計算機的資訊。 終端使用者可以瀏覽 保護您的電腦網站。 IT 專業人員可以瀏覽 資訊安全中心網站

更新有何用途?
更新會藉由修改 Internet Explorer 透過具有類似名稱的函式驗證導覽方法的方式,來移除弱點。

發佈此安全性布告欄時,是否已公開披露此弱點?
是。 此弱點已公開披露。 它已獲指派常見弱點和暴露號碼 CAN-2004-0727。 它也被較大的安全性社群命名為 「SimliarMethodNameRedir」。。

發佈此安全性布告欄時,Microsoft 是否已收到任何有關此弱點遭到惡意探索的報告?
是。 當安全性布告欄發佈時,Microsoft 已收到此弱點遭到惡意探索的資訊。

安裝此安全性更新是否有助於保護客戶免於公開發佈並嘗試惡意探索此弱點的程序代碼?
是。 此安全性更新可解決目前正在惡意探索的弱點。 已解決的弱點已獲指派 Common Vulnerability and Exposure number CAN-2004-0727。

安裝引擎弱點 - CAN-2004-0216:

Aremote 程式代碼執行弱點存在於Inseng.dll中,可能會允許在受影響的系統上執行遠端程式代碼。 成功惡意探索此弱點的攻擊者可能會完全控制受影響的系統。

安裝引擎弱點的緩和因素 - CAN-2004-0216:

  • 在 Web 型攻擊案例中,攻擊者必須裝載包含用來惡意探索此弱點之網頁的網站。 攻擊者無法強制使用者流覽惡意網站。 相反地,攻擊者必須說服他們瀏覽網站,通常是讓他們按兩下將他們帶到攻擊者網站的連結。

  • 成功惡意探索此弱點的攻擊者可能會獲得與使用者相同的許可權。 其帳戶設定為在系統上擁有較少許可權的使用者,其風險會比具有系統管理許可權的使用者少。

  • 根據預設,Outlook Express 6、Outlook 2002 和 Outlook 2003 會在 [限制的網站] 區域中開啟 HTML 電子郵件訊息。 此外,如果已套用 Microsoft Outlook 電子郵件安全性更新,Outlook 98 和 Outlook 2000 會在受限制的網站區域中開啟 HTML 電子郵件訊息。 如果已套用 Microsoft 安全性公告 MS04-018 隨附的更新,Outlook Express 5.5 Service Pack 2 會在受限制的網站區域中開啟 HTML 電子郵件。 受限制的網站區域可協助減少可能嘗試利用此弱點的攻擊。

    如果您符合下列所有條件,HTML 電子郵件向量的攻擊風險可能會大幅降低:

    • 安裝 Microsoft 安全性佈告欄 MS03-040 或更新版本的 Internet Explorer 累積安全性更新隨附的更新。
    • 使用 Outlook Express 5.5 Service Pack 2 或更新版本,並已套用 Microsoft 安全性公告 MS04-018 或更新版本的 Outlook Express 累積安全性更新隨附的更新。
    • 使用 Microsoft Outlook 98 和 Outlook 2000 並套用 Microsoft Outlook 電子郵件安全性更新。
    • 在預設設定中使用 Microsoft Outlook Express 6 或更新版本或 Microsoft Outlook 2000 Service Pack 2 或更新版本。

  • 根據預設,Windows Server 2003 上的 Internet Explorer 會以受限制模式執行,稱為「增強式安全性設定」,可降低此弱點。 如需 Internet Explorer 增強式安全性設定的詳細資訊,請參閱此安全性更新的常見問題一節。

  • 下列產品不會受到此弱點的影響。

    • Windows XP Service Pack 2 上的 Internet Explorer 6

安裝引擎弱點的因應措施 - CAN-2004-0216:

Microsoft 已測試下列因應措施。 雖然這些因應措施不會更正基礎弱點,但它們有助於封鎖已知的攻擊媒介。 當因應措施減少功能時,其會識別如下。

  • 將 [因特網和近端內部網络] 安全性區域設定設為 [高],以在因特網區域和近端內部網路區域中執行 ActiveX 控件和作用中腳本之前提示。

    您可以變更因特網安全性區域的設定,以在執行 ActiveX 控件和 Active 腳本之前提示,以協助防範這些弱點。 若要這麼做,請執行下列步驟:

    1. 在 Internet Explorer 中,單擊 [工具] 功能表上的 [因特網選項]。
    2. 按一下 [安全性] 索引標籤。
    3. 按兩下 [ 因特網],然後按兩下 [ 自定義層級]。
    4. 在 [ActiveX 控件和外掛程式] 區段中執行 ActiveX 控件和外掛程式下,按兩下 [提示]。
    5. 在 [腳本] 區段中的 [使用中腳本] 下,按兩下 [提示],然後按兩下 [確定]。
    6. 按兩下 [ 近端內部網络],然後按兩下 [ 自定義層級]。
    7. 在 [ActiveX 控件和外掛程式] 區段中執行 ActiveX 控件和外掛程式下,按兩下 [提示]。
    8. [腳本] 區段中的 [使用中腳本] 下,按兩下 [提示]。
    9. 按兩次返回 Internet Explorer。

    因應措施的影響: 在執行 ActiveX 控制項之前提示有副作用。 位於因特網或內部網路上的許多網站都會使用 ActiveX 來提供其他功能。 例如,在線電子商務網站或銀行網站可能會使用 ActiveX 控件來提供功能表、訂購表單,甚至是帳戶帳單。

    在執行 ActiveX 控制件之前提示是會影響所有因特網和內部網路網站的全域設定。 當您啟用此因應措施時,會經常提示您。 針對每個提示,如果您信任所瀏覽的網站,請按兩下 [ ] 以執行 ActiveX 控制件。 如果您不想提示所有這些網站,請使用「限制網站只限制信任的網站」因應措施。

  • 將網站限制為僅限您信任的網站

    將 Internet Explorer 設定為在因特網區域和近端內部網路區域中執行 ActiveX 控制件和 Active 腳本之前需要提示之後,您可以將信任的網站新增至 Internet Explorer 的 [信任的網站] 區域。 如果您這樣做,您可以像今天一樣繼續使用受信任的網站,同時協助保護您不受不受信任網站的此攻擊。 建議您只將信任的網站新增至 [信任的網站] 區域。

    若要這麼做,請執行下列步驟:

    1. 在 Internet Explorer 中,單擊 [工具] 功能表上的 [因特網選項]。
    2. 按一下 [安全性] 索引標籤。
    3. 在 [ 選取 Web 內容區域以指定其目前的安全性設定 ] 方塊中,按兩下 [ 信任的網站],然後按兩下 [ 網站]。
    4. 如果您想要新增不需要加密通道的網站,請按下 以清除 [需要此區域 所有網站的伺服器驗證 (https:)] 複選框。
    5. 在 [ 將此網站新增至區域 ] 方塊中,輸入您信任的網站 URL,然後按兩下 [ 新增]。
    6. 針對您要新增至區域的每個網站重複這些步驟
    7. 按兩次接受變更,並返回Internet Explorer。

    新增任何您信任的網站,不要在計算機上採取惡意動作。 您可能會想要將 「*.windowsupdate.microsoft.com」 (不含引號)新增至信任的網站區域。 此網站會裝載更新。 此網站會使用 ActiveX 控制件來安裝更新。

  • 如果您使用 Outlook 2000 SP1 或更早版本,請安裝 Outlook 電子郵件安全性更新

    根據預設,Outlook Express 6、Outlook 2002 和 Outlook 2003 會在 [限制的網站] 區域中開啟 HTML 電子郵件訊息。 此外,如果套用 Outlook 電子郵件安全性更新,Outlook 98 和 Outlook 2000 會在受限制的網站區域中開啟 HTML 電子郵件訊息。

    使用任何這些產品的客戶可能會面臨電子郵件傳播攻擊的風險降低,這些攻擊會嘗試利用此弱點,除非使用者按兩下電子郵件訊息中的惡意連結。

  • 如果您使用 Outlook Express 5.5 SP2,請安裝 Microsoft 安全性佈告欄MS04-018隨附的更新。

    如果已套用 Microsoft 安全性公告 MS04-018 隨附的更新,Outlook Express 5.5 Service Pack 2 會在受限制的網站區域中開啟 HTML 電子郵件。

    使用任何這些產品的客戶可能會面臨電子郵件傳播攻擊的風險降低,這些攻擊會嘗試利用此弱點,除非使用者按兩下電子郵件訊息中的惡意連結。

  • 如果您使用 Outlook 2002 或更新版本或 Outlook Express 6 SP1 或更新版本,以純文本格式讀取電子郵件訊息,以協助保護自己免受 HTML 電子郵件攻擊媒介。

    已套用 Office XP Service Pack 1 或更新版本的 Microsoft Outlook 2002 使用者和已套用 Internet Explorer 6 Service Pack 1 的 Microsoft Outlook Express 6 使用者可以啟用此設定,並檢視未以數位簽署或純文本未加密的電子郵件訊息。

    數位簽名的電子郵件訊息或加密的電子郵件訊息不會受到設定的影響,而且可能以原始格式讀取。 如需在 Outlook 2002 中啟用此設定的詳細資訊,請參閱 Microsoft 知識庫文章 307594

    如需 Outlook Express 6 中此設定的相關信息,請參閱 Microsoft 知識庫文章 291387

    因應措施的影響: 以純文本格式檢視的電子郵件訊息將不會包含圖片、特製字型、動畫或其他豐富內容。 此外:

    • 變更會套用至預覽窗格,並開啟訊息。
    • 圖片會變成附件,使其不會遺失。
    • 由於訊息在存放區中仍為 RTF 或 HTML 格式,因此物件模型(自定義程式碼解決方案)的行為可能會非預期。

安裝引擎弱點的常見問題 - CAN-2004-0216:

弱點的範圍為何?
這是遠端程式代碼執行弱點。 如果使用者以系統管理許可權登入,成功利用這些弱點最嚴重之攻擊者可能會完全控制受影響的系統,包括安裝程式:檢視、變更或刪除數據;或建立具有完整許可權的新帳戶。 其帳戶設定為在系統上擁有較少許可權的使用者,其風險會比具有系統管理許可權的使用者少。

造成弱點的原因為何?
Internet Explorer 安裝引擎中未核取的緩衝區。

什麼是安裝引擎?
安裝引擎是 Internet Explorer Active Setup 技術的一部分。 使用中安裝程式可讓安裝程式從因特網接收程式初始化所需的其他檔案。

攻擊者如何利用弱點?
攻擊者可以藉由建立惡意網頁或 HTML 電子郵件訊息,然後誘使用戶瀏覽此頁面或檢視 HTML 電子郵件訊息,來惡意探索此弱點。 當使用者瀏覽頁面或檢視電子郵件訊息時,攻擊者可以從其他網站、系統上的本機檔案存取資訊,或導致惡意代碼在本機登入使用者的安全性內容中執行。

哪些系統主要面臨弱點的風險?
此弱點需要使用者登入並讀取電子郵件或瀏覽網站,才能發生任何惡意動作。 因此,讀取電子郵件的任何系統,或 Internet Explorer 經常使用的位置,例如使用者的工作站或終端伺服器,都面臨此弱點的最大風險。 通常不會用來讀取電子郵件或瀏覽網站的系統,例如大部分的伺服器系統,都面臨風險降低。

Windows 98、Windows 98 第二版或 Windows Millennium Edition 是否受到此弱點嚴重影響?
是。 Windows 98、Windows 98 Second Edition 和 Windows Millennium Edition 受到此弱點的嚴重影響。 這些平臺的重要安全性更新可能無法與在此安全性公告中提供的其他安全性更新同時提供。 發行之後,將會儘快提供它們。 當這些安全性更新可供使用時,您就只能從 Windows Update 網站下載這些更新。 如需嚴重性評等的詳細資訊,請流覽此 Microsoft 網站

更新有何用途?
更新會藉由修改在 Internet Explorer 中安裝引擎驗證訊息長度的方式,再將訊息傳遞至配置的緩衝區,藉以移除弱點。

發佈此安全性布告欄時,是否已公開披露此弱點?
否。 Microsoft 透過負責任的洩漏收到此弱點的相關信息。

發佈此安全性布告欄時,Microsoft 是否已收到任何有關此弱點遭到惡意探索的報告?
否。 Microsoft 尚未收到任何資訊,指出此弱點已公開用於攻擊客戶,而且在最初發佈此安全性公告時,並未看到任何發佈概念證明程式代碼的範例。

拖放弱點 - CAN-2004-0839:

Internet Explorer 中存在許可權提升弱點,因為 Internet Explorer 處理拖放事件的方式。 如果使用者造訪惡意網站或檢視惡意電子郵件訊息,攻擊者可能會建構惡意網頁,藉此惡意網頁將檔案儲存在用戶的系統上。 成功利用此弱點的攻擊者可以完全控制受影響的系統。 需要用戶互動才能惡意探索此弱點。

拖放弱點的緩和因素 - CAN-2004-0839:

  • 在 Web 型攻擊案例中,攻擊者必須裝載包含用來惡意探索此弱點之網頁的網站。 攻擊者無法強制使用者流覽惡意網站。 相反地,攻擊者必須說服他們瀏覽網站,通常是讓他們按兩下將他們帶到攻擊者網站的連結。 按兩下連結之後,他們需要在惡意網站上執行動作,以在Internet Explorer中叫用拖放處理。

  • 此弱點可讓攻擊者將惡意代碼放在用戶系統上的指定位置。 只有在使用者執行此程式代碼之後,使用者才能重新啟動系統、註銷再重新登入系統,或無意中執行攻擊者在系統上儲存的程序代碼。

  • 成功惡意探索此弱點的攻擊者可能會獲得與使用者相同的許可權。 其帳戶設定為在系統上擁有較少許可權的使用者,其風險會比具有系統管理許可權的使用者少。

  • 根據預設,Outlook Express 6、Outlook 2002 和 Outlook 2003 會在 [限制的網站] 區域中開啟 HTML 電子郵件訊息。 此外,如果套用 Outlook 電子郵件安全性更新,Outlook 98 和 Outlook 2000 會在受限制的網站區域中開啟 HTML 電子郵件訊息。 如果已套用 Microsoft 安全性公告 MS04-018 隨附的更新,Outlook Express 5.5 Service Pack 2 會在受限制的網站區域中開啟 HTML 電子郵件。 受限制的網站區域可協助減少可能嘗試利用此弱點的攻擊。

    如果您符合下列所有條件,HTML 電子郵件向量的攻擊風險可能會大幅降低:

    • 安裝 Microsoft 安全性佈告欄 MS03-040 或更新版本的 Internet Explorer 累積安全性更新隨附的更新。
    • 使用 Outlook Express 5.5 Service Pack 2 或更新版本,並已套用 Microsoft 安全性公告 MS04-018 或更新版本的 Outlook Express 累積安全性更新隨附的更新。
    • 使用 Microsoft Outlook 98 和 Outlook 2000 並套用 Microsoft Outlook 電子郵件安全性更新。
    • 在預設設定中使用 Microsoft Outlook Express 6 或更新版本或 Microsoft Outlook 2000 Service Pack 2 或更新版本。

  • 根據預設,Windows Server 2003 上的 Internet Explorer 會以稱為增強式安全性設定的受限制模式執行。 此模式可減輕此弱點。 如需 Internet Explorer 增強式安全性設定的詳細資訊,請參閱此弱點的常見問題一節。

拖放弱點的因應措施 - CAN-2004-0839:

Microsoft 已測試下列因應措施。 雖然這些因應措施不會更正基礎弱點,但它們有助於封鎖已知的攻擊媒介。 當因應措施減少功能時,其會識別如下。

  • 將 [因特網和近端內部網络] 安全性區域設定設為 [高],以在因特網區域和近端內部網路區域中執行 ActiveX 控件和作用中腳本之前提示。

    您可以變更因特網安全性區域的設定,以在執行 ActiveX 控件和 Active 腳本之前提示,以協助防範這些弱點。 若要這麼做,請執行下列步驟:

    1. 在 Internet Explorer 中,單擊 [工具] 功能表上的 [因特網選項]。
    2. 按一下 [安全性] 索引標籤。
    3. 按兩下 [ 因特網],然後按兩下 [ 自定義層級]。
    4. 在 [ActiveX 控件和外掛程式] 區段中執行 ActiveX 控件和外掛程式下,按兩下 [提示]。
    5. 在 [腳本] 區段中的 [使用中腳本] 下,按兩下 [提示],然後按兩下 [確定]。
    6. 按兩下 [ 近端內部網络],然後按兩下 [ 自定義層級]。
    7. 在 [ActiveX 控件和外掛程式] 區段中執行 ActiveX 控件和外掛程式下,按兩下 [提示]。
    8. [腳本] 區段中的 [使用中腳本] 下,按兩下 [提示]。
    9. 按兩次返回 Internet Explorer。

    因應措施的影響: 在執行 ActiveX 控制項之前提示有副作用。 位於因特網或內部網路上的許多網站都會使用 ActiveX 來提供其他功能。 例如,在線電子商務網站或銀行網站可能會使用 ActiveX 控件來提供功能表、訂購表單,甚至是帳戶帳單。

    在執行 ActiveX 控制件之前提示是會影響所有因特網和內部網路網站的全域設定。 當您啟用此因應措施時,會經常提示您。 針對每個提示,如果您信任所瀏覽的網站,請按兩下 [ ] 以執行 ActiveX 控制件。 如果您不想提示所有這些網站,請使用「限制網站只限制信任的網站」因應措施。

  • 將網站限制為僅限您信任的網站

    將 Internet Explorer 設定為在因特網區域和近端內部網路區域中執行 ActiveX 控制件和 Active 腳本之前需要提示之後,您可以將信任的網站新增至 Internet Explorer 的 [信任的網站] 區域。 如果您這樣做,您可以像今天一樣繼續使用受信任的網站,同時協助保護您不受不受信任網站的此攻擊。 建議您只將信任的網站新增至 [信任的網站] 區域。

    若要這麼做,請執行下列步驟:

    1. 在 Internet Explorer 中,單擊 [工具] 功能表上的 [因特網選項]。
    2. 按一下 [安全性] 索引標籤。
    3. 在 [ 選取 Web 內容區域以指定其目前的安全性設定 ] 方塊中,按兩下 [ 信任的網站],然後按兩下 [ 網站]。
    4. 如果您想要新增不需要加密通道的網站,請按下 以清除 [需要此區域 所有網站的伺服器驗證 (https:)] 複選框。
    5. 在 [ 將此網站新增至區域 ] 方塊中,輸入您信任的網站 URL,然後按兩下 [ 新增]。
    6. 針對您要新增至區域的每個網站重複這些步驟
    7. 按兩次接受變更,並返回Internet Explorer。

    新增任何您信任的網站,不要在計算機上採取惡意動作。 您可能會想要將 「*.windowsupdate.microsoft.com」 (不含引號)新增至信任的網站區域。 此網站會裝載更新。 此網站會使用 ActiveX 控制件來安裝更新。

  • 如果您使用 Outlook 2000 SP1 或更早版本,請安裝 Outlook 電子郵件安全性更新

    根據預設,Outlook Express 6、Outlook 2002 和 Outlook 2003 會在 [限制的網站] 區域中開啟 HTML 電子郵件訊息。 此外,如果套用 Outlook 電子郵件安全性更新,Outlook 98 和 Outlook 2000 會在受限制的網站區域中開啟 HTML 電子郵件訊息。

    使用任何這些產品的客戶可能會面臨電子郵件傳播攻擊的風險降低,這些攻擊會嘗試利用此弱點,除非使用者按兩下電子郵件訊息中的惡意連結。

  • 如果您使用 Outlook Express 5.5 SP2,請安裝 Microsoft 安全性佈告欄MS04-018隨附的更新。

    如果已套用 Microsoft 安全性公告 MS04-018 隨附的更新,Outlook Express 5.5 Service Pack 2 會在受限制的網站區域中開啟 HTML 電子郵件。

    使用任何這些產品的客戶可能會面臨電子郵件傳播攻擊的風險降低,這些攻擊會嘗試利用此弱點,除非使用者按兩下電子郵件訊息中的惡意連結。

  • 如果您使用 Outlook 2002 或更新版本或 Outlook Express 6 SP1 或更新版本,以純文本格式讀取電子郵件訊息,以協助保護自己免受 HTML 電子郵件攻擊媒介。

    已套用 Office XP Service Pack 1 或更新版本的 Microsoft Outlook 2002 使用者和已套用 Internet Explorer 6 Service Pack 1 的 Microsoft Outlook Express 6 使用者可以啟用此設定,並檢視未以數位簽署或純文本未加密的電子郵件訊息。

    數位簽名的電子郵件訊息或加密的電子郵件訊息不會受到設定的影響,而且可能以原始格式讀取。 如需在 Outlook 2002 中啟用此設定的詳細資訊,請參閱 Microsoft 知識庫文章 307594

    如需 Outlook Express 6 中此設定的相關信息,請參閱 Microsoft 知識庫文章 291387

    因應措施的影響: 以純文本格式檢視的電子郵件訊息將不會包含圖片、特製字型、動畫或其他豐富內容。 此外:

    • 變更會套用至預覽窗格,並開啟訊息。
    • 圖片會變成附件,使其不會遺失。
    • 由於訊息在存放區中仍為 RTF 或 HTML 格式,因此物件模型(自定義程式碼解決方案)的行為可能會非預期。

拖放弱點的常見問題 - CAN-2004-0839:

弱點的範圍為何?
此弱點牽涉到 Internet Explorer 中的拖放事件,可能會導致可執行檔儲存在用戶的系統上。 使用者不會收到要求核准下載的對話框。 若要惡意探索此弱點,攻擊者必須裝載惡意網站,其中包含一個網頁,其設計目的是惡意探索此弱點,然後說服用戶瀏覽該網站。 如果使用者在該網頁上採取特定動作,攻擊者選擇的程式代碼可以儲存在用戶系統上的指定位置。

造成弱點的原因為何?
此弱點是由拖放技術不當驗證某些動態 HTML (DHTML) 事件所造成。 此弱點可讓使用者按兩下連結之後,將檔案下載到用戶的系統。

什麼是 DHMTL 事件?
DHTML 事件是 DHTML 物件模型所提供的特殊動作。 這些事件可用於文稿程序代碼,將動態內容新增至網站。 如需 DHTML 事件的詳細資訊,請流覽此 MSDN 網站

攻擊者如何利用弱點?
成功惡意探索此弱點的攻擊者可以將所選的程式代碼儲存至使用者的本機文件系統。 雖然此程式代碼無法直接透過此弱點執行,但如果檔案儲存至敏感性位置,操作系統可能會開啟檔案,或者使用者可能會不小心啟動檔案,並導致攻擊者的程式代碼執行。

哪些系統主要面臨弱點的風險?
此弱點需要使用者登入並讀取電子郵件或瀏覽網站,才能發生任何惡意動作。 因此,讀取電子郵件的任何系統,或 Internet Explorer 經常使用的位置,例如使用者的工作站或終端伺服器,都面臨此弱點的最大風險。 通常不會用來讀取電子郵件或瀏覽網站的系統,例如大部分的伺服器系統,都面臨風險降低。

Windows 98、Windows 98 第二版或 Windows Millennium Edition 是否受到此弱點嚴重影響?
否。 雖然 Windows 98、Windows 98 第二版和 Windows Millennium Edition 確實包含受影響的元件,但弱點並不重要。 如需嚴重性評等的詳細資訊,請流覽此 Microsoft 網站

更新有何用途?
更新會修改 Internet Explorer 驗證某些拖放事件的方式,以移除弱點。

發佈此安全性布告欄時,是否已公開披露此弱點?
是。 此弱點已公開披露。 它已被指派常見弱點和暴露號碼 CAN-2004-0839。 此外,它已被較大的安全性社群命名為「滾動條弱點」。

發佈此安全性布告欄時,Microsoft 是否已收到任何有關此弱點遭到惡意探索的報告?
是。 當安全性布告欄發佈時,Microsoft 已收到此弱點遭到惡意探索的資訊。

安裝此安全性更新是否有助於保護客戶免於公開發佈並嘗試惡意探索此弱點的程序代碼?
是。 此安全性更新可解決目前正在惡意探索的弱點。 已解決的弱點已獲指派通用弱點和暴露號碼 CAN-2004-0839。

雙位元組字元集系統上的位址列詐騙弱點 - CAN-2004-0844:

Internet Explorer 在雙位元組位元集系統上處理 URL 時存在詐騙弱點。 此弱點可能會導致網址列中列出不正確的 URL,而該 URL 不是 Internet Explorer 所顯示的實際網頁。

解決雙位元組字元集系統弱點的位址列詐騙因素 - CAN-2004-0844:

  • 此弱點只會影響使用雙位元組字元集的系統。 這些字元集用於某些亞洲版本的 Microsoft Windows,而且可以使用系統地區設定來設定。
  • 在 Web 型攻擊案例中,攻擊者必須裝載包含用來惡意探索此弱點之網頁的網站。 攻擊者無法強制使用者流覽惡意網站。 相反地,攻擊者必須說服他們瀏覽網站,通常是讓他們按兩下將他們帶到攻擊者網站的連結。
  • 下列產品不會受到此弱點的影響。
    • Microsoft Windows XP Service Pack 2 上的 Internet Explorer 6
    • Internet Explore 6.0
    • Internet Explorer 5.5 Service Pack 2
    • Internet Explorer 5.01 Service Pack 4
    • Internet Explorer 5.01 Service Pack 3

雙位元組字元集系統弱點的位址列詐騙因應措施 - CAN-2004-0844:

雙位元組字元集系統弱點的位址列詐騙常見問題 - CAN-2004-0844:

弱點的範圍為何?
這是詐騙弱點。 它會影響 Internet Explorer 用來顯示目前瀏覽網站的網址列。 此弱點可能會導致網址列中所列的 URL 不正確,而該 URL 不是出現在 Internet Explorer 中的實際網頁。 例如,攻擊者可以建立連結,當使用者按兩下連結時,該連結會顯示 https://www.tailspintoys.com 在網址列中。 不過,Internet Explorer 實際上會顯示來自另一個網站的內容,例如 https://www.wingtiptoys.com

造成弱點的原因為何?
此弱點是由 Internet Explorer 剖析雙位元組位元集系統上 HTTP URL 中的特殊字元時所發生的標準錯誤所造成。

什麼是雙位元組字元集?
雙位元組字元集 (DBCS) 是展開的8位元元集,其中最小的單位是位元組。 DBCS 中的某些字元具有單一位元組程序代碼值,有些字元具有雙位元組程式代碼值。 DBCS 可視為某些亞洲版 Microsoft Windows 的 ANSI 字元集。 如需 DBCS 的詳細資訊,請參閱 MSDN 上的 [雙位元組字元集] 頁面。

如何? 知道我是否正在執行 DBCS 地區設定?
DBCS 可視為某些亞洲版 Microsoft Windows 的 ANSI 字元集。 這些通常僅限於中文、日文和韓文。 如需系統地區設定和判斷系統地區設定的詳細資訊,請造訪此 Microsoft 網站。

攻擊者如何利用弱點?
攻擊者可以使用此弱點來建立網頁,以顯示攻擊者在網址列中選擇的URL,同時在瀏覽器視窗中顯示不同的網站。 攻擊者可以使用此弱點來建立惡意頁面,以詐騙合法網站。 例如,攻擊者可以建立看起來像使用者在線電子郵件網站的網頁。 不過,此網頁會裝載在惡意網站上。 攻擊者可以使用此弱點,在網址列中顯示合法的URL。 使用者可能會看到此 URL,並錯誤地將敏感性資訊提供給攻擊者的網站。

哪些系統主要面臨弱點的風險?
此弱點需要使用者登入並讀取電子郵件或瀏覽網站,才能發生任何惡意動作。 因此,讀取電子郵件的任何系統,或 Internet Explorer 經常使用的位置,例如使用者的工作站或終端伺服器,都面臨此弱點的最大風險。 通常不會用來讀取電子郵件或瀏覽網站的系統,例如大部分的伺服器系統,都面臨風險降低。

Windows 98、Windows 98 第二版或 Windows Millennium Edition 是否受到此弱點嚴重影響?
否。 雖然 Windows 98、Windows 98 第二版和 Windows Millennium Edition 確實包含受影響的元件,但弱點並不重要。 如需嚴重性評等的詳細資訊,請流覽此 Microsoft 網站

更新有何用途?
更新會修改 Internet Explorer 在 DBCS 地區設定上驗證 URL 的方式,藉以移除弱點。

發佈此安全性布告欄時,是否已公開披露此弱點?
Microsoft 未收到任何資訊,指出此弱點在最初發佈此安全性公告時已公開披露。

外掛程式導覽位址列詐騙弱點 - CAN-2004-0843:

Internet Explorer 對外掛程式瀏覽的處理中存在詐騙弱點。 此弱點可能會導致網址列中所列的 URL 不正確,而該 URL 不是出現在 Internet Explorer 中的實際網頁。

外掛程式導覽網址列詐騙弱點的緩和因素 - CAN-2004-0843:

  • 在 Web 型攻擊案例中,攻擊者必須裝載包含用來惡意探索此弱點之網頁的網站。 攻擊者無法強制使用者流覽惡意網站。 相反地,攻擊者必須說服他們瀏覽網站,通常是讓他們按兩下將他們帶到攻擊者網站的連結。
  • 根據預設,Windows Server 2003 上的 Internet Explorer 會以受限制模式執行,稱為「增強式安全性設定」,可降低此弱點。 如需 Internet Explorer 增強式安全性設定的詳細資訊,請參閱此安全性更新的常見問題一節。
  • 下列產品不會受到此弱點的影響。
    • Internet Explorer 5.01 Service Pack 4
    • Internet Explorer 5.01 Service Pack 3

外掛程式導覽網址列詐騙弱點的因應措施 - CAN-2004-0843:

Microsoft 已測試下列因應措施。 雖然這些因應措施不會更正基礎弱點,但它們有助於封鎖已知的攻擊媒介。 當因應措施減少功能時,其會識別如下。

  • 將 [因特網和近端內部網络] 安全性區域設定設為 [高],以在因特網區域和近端內部網路區域中執行 ActiveX 控件和作用中腳本之前提示。

    您可以變更因特網安全性區域的設定,以在執行 ActiveX 控件和 Active 腳本之前提示,以協助防範這些弱點。 若要這麼做,請執行下列步驟:

    1. 在 Internet Explorer 中,單擊 [工具] 功能表上的 [因特網選項]。
    2. 按一下 [安全性] 索引標籤。
    3. 按兩下 [ 因特網],然後按兩下 [ 自定義層級]。
    4. 在 [ActiveX 控件和外掛程式] 區段中執行 ActiveX 控件和外掛程式下,按兩下 [提示]。
    5. 在 [腳本] 區段中的 [使用中腳本] 下,按兩下 [提示],然後按兩下 [確定]。
    6. 按兩下 [ 近端內部網络],然後按兩下 [ 自定義層級]。
    7. 在 [ActiveX 控件和外掛程式] 區段中執行 ActiveX 控件和外掛程式下,按兩下 [提示]。
    8. [腳本] 區段中的 [使用中腳本] 下,按兩下 [提示]。
    9. 按兩次返回 Internet Explorer。

    因應措施的影響: 在執行 ActiveX 控制項之前提示有副作用。 位於因特網或內部網路上的許多網站都會使用 ActiveX 來提供其他功能。 例如,在線電子商務網站或銀行網站可能會使用 ActiveX 控件來提供功能表、訂購表單,甚至是帳戶帳單。

    在執行 ActiveX 控制件之前提示是會影響所有因特網和內部網路網站的全域設定。 當您啟用此因應措施時,會經常提示您。 針對每個提示,如果您信任所瀏覽的網站,請按兩下 [ ] 以執行 ActiveX 控制件。 如果您不想提示所有這些網站,請使用「限制網站只限制信任的網站」因應措施。

  • 將網站限制為僅限您信任的網站

    將 Internet Explorer 設定為在因特網區域和近端內部網路區域中執行 ActiveX 控制件和 Active 腳本之前需要提示之後,您可以將信任的網站新增至 Internet Explorer 的 [信任的網站] 區域。 如果您這樣做,您可以像今天一樣繼續使用受信任的網站,同時協助保護您不受不受信任網站的此攻擊。 建議您只將信任的網站新增至 [信任的網站] 區域。

    若要這麼做,請執行下列步驟:

    1. 在 Internet Explorer 中,單擊 [工具] 功能表上的 [因特網選項]。
    2. 按一下 [安全性] 索引標籤。
    3. 在 [ 選取 Web 內容區域以指定其目前的安全性設定 ] 方塊中,按兩下 [ 信任的網站],然後按兩下 [ 網站]。
    4. 如果您想要新增不需要加密通道的網站,請按下 以清除 [需要此區域 所有網站的伺服器驗證 (https:)] 複選框。
    5. 在 [ 將此網站新增至區域 ] 方塊中,輸入您信任的網站 URL,然後按兩下 [ 新增]。
    6. 針對您要新增至區域的每個網站重複這些步驟
    7. 按兩次接受變更,並返回Internet Explorer。

    新增任何您信任的網站,不要在計算機上採取惡意動作。 您可能會想要將 「*.windowsupdate.microsoft.com」 (不含引號)新增至信任的網站區域。 此網站會裝載更新。 此網站會使用 ActiveX 控制件來安裝更新。

外掛程式導覽位址列詐騙弱點的常見問題 - CAN-2004-0843:

弱點的範圍為何?
這是詐騙弱點。 它會影響 Internet Explorer 用來顯示目前瀏覽網站的網址列。 此弱點可能會導致網址列中所列的 URL 不正確,而該 URL 不是出現在 Internet Explorer 中的實際網頁。 例如,攻擊者可以建立連結,當使用者按兩下連結時,該連結會顯示 https://www.tailspintoys.com 在網址列中。 不過,Internet Explorer 實際上會顯示來自另一個網站的內容,例如 https://www.wingtiptoys.com

造成弱點的原因為何?
Internet Explorer 處理外掛程式導覽的方式。

什麼是外掛程式?
外掛程式是擴充 Internet Explorer 功能的第三方元件。 外掛程式的範例包括ActiveX控制件。

攻擊者如何利用弱點?
攻擊者可以使用此弱點來建立裝載外掛程式的網頁,讓 Internet Explorer 在網址列中顯示攻擊者選擇的 URL,同時在瀏覽器視窗中顯示不同的網站。 攻擊者可以使用此弱點來建立惡意頁面,以詐騙合法網站。 例如,攻擊者可以建立看起來像使用者在線電子郵件網站的網頁。 不過,此網頁會裝載在惡意網站上。 攻擊者可以使用此弱點,在網址列中顯示合法的URL。 使用者可能會看到此 URL,並錯誤地將敏感性資訊提供給攻擊者的網站。

哪些系統主要面臨弱點的風險?
此弱點需要使用者登入並讀取電子郵件或瀏覽網站,才能發生任何惡意動作。 因此,讀取電子郵件的任何系統,或 Internet Explorer 經常使用的位置,例如使用者的工作站或終端伺服器,都面臨此弱點的最大風險。 通常不會用來讀取電子郵件或瀏覽網站的系統,例如大部分的伺服器系統,都面臨風險降低。

Windows 98、Windows 98 第二版或 Windows Millennium Edition 是否受到此弱點嚴重影響?
否。 雖然 Windows 98、Windows 98 第二版和 Windows Millennium Edition 確實包含受影響的元件,但弱點並不重要。 如需嚴重性評等的詳細資訊,請流覽此 Microsoft 網站

更新有何用途?
更新會藉由修改 Internet Explorer 驗證外掛程式導覽的方式來移除弱點。

發佈此安全性布告欄時,是否已公開披露此弱點?
Microsoft 未收到任何資訊,指出此弱點在最初發佈此安全性公告時已公開披露。

映射標籤檔案下載弱點中的腳稿 - CAN-2004-0841:

許可權提升弱點存在於 Internet Explorer 在映射標籤中處理腳本的方式。 如果使用者流覽惡意網站或檢視惡意電子郵件訊息,攻擊者可能會利用惡意網頁來利用弱點,而惡意網頁可能會讓攻擊者將檔案儲存在用戶的系統上。 成功利用此弱點的攻擊者可以完全控制受影響的系統。 需要用戶互動才能惡意探索此弱點。

映射卷標檔案下載弱點中的腳本降低因素 - CAN-2004-0841:

  • 在 Web 型攻擊案例中,攻擊者必須裝載包含用來惡意探索此弱點之網頁的網站。 攻擊者無法強制使用者流覽惡意網站。 相反地,攻擊者必須說服他們瀏覽網站,通常是讓他們按兩下將他們帶到攻擊者網站的連結。 按兩下連結之後,他們必須對惡意網站執行動作,例如按兩下影像。

  • 此弱點可讓攻擊者將惡意代碼放在用戶系統上的指定位置。 只有在使用者執行此程式代碼之後,才會發生攻擊,可能是藉由重新啟動系統、註銷再重新登入系統,或無意中執行攻擊者在本機系統上儲存的程式代碼。

  • 成功惡意探索此弱點的攻擊者可能會獲得與使用者相同的許可權。 其帳戶設定為在系統上擁有較少許可權的使用者,其風險會比具有系統管理許可權的使用者少。

  • 根據預設,Outlook Express 6、Outlook 2002 和 Outlook 2003 會在 [限制的網站] 區域中開啟 HTML 電子郵件訊息。 此外,如果套用 Outlook 電子郵件安全性更新,Outlook 98 和 Outlook 2000 會在受限制的網站區域中開啟 HTML 電子郵件訊息。 如果已套用 Microsoft 安全性公告 MS04-018 隨附的更新,Outlook Express 5.5 Service Pack 2 會在受限制的網站區域中開啟 HTML 電子郵件。 受限制的網站區域可協助減少可能嘗試利用此弱點的攻擊。

    如果您符合下列所有條件,HTML 電子郵件向量的攻擊風險可能會大幅降低:

    • 安裝 Microsoft 安全性佈告欄 MS03-040 或更新版本的 Internet Explorer 累積安全性更新隨附的更新。
    • 使用 Outlook Express 5.5 Service Pack 2 或更新版本,並已套用 Microsoft 安全性公告 MS04-018 或更新版本的 Outlook Express 累積安全性更新隨附的更新。
    • 使用 Microsoft Outlook 98 和 Outlook 2000 並套用 Microsoft Outlook 電子郵件安全性更新。
    • 在預設設定中使用 Microsoft Outlook Express 6 或更新版本或 Microsoft Outlook 2000 Service Pack 2 或更新版本。
    • 根據預設,Windows Server 2003 上的 Internet Explorer 會以稱為增強式安全性設定的受限制模式執行。 此模式可減輕此弱點。 如需 Internet Explorer 增強式安全性設定的詳細資訊,請參閱此弱點的常見問題一節。

  • 下列產品不會受到此弱點的影響:

    • Microsoft Windows XP Service Pack 2 上的 Internet Explorer 6

映射卷標檔案下載弱點中的腳本因應措施 - CAN-2004-0841:

Microsoft 已測試下列因應措施。 雖然這些因應措施不會更正基礎弱點,但它們有助於封鎖已知的攻擊媒介。 當因應措施減少功能時,其會識別如下。

  • 將 [因特網和近端內部網络] 安全性區域設定設為 [高],以在因特網區域和近端內部網路區域中執行 ActiveX 控件和作用中腳本之前提示。

    您可以變更因特網安全性區域的設定,以在執行 ActiveX 控件和 Active 腳本之前提示,以協助防範這些弱點。 若要這麼做,請執行下列步驟:

    1. 在 Internet Explorer 中,單擊 [工具] 功能表上的 [因特網選項]。
    2. 按一下 [安全性] 索引標籤。
    3. 按兩下 [ 因特網],然後按兩下 [ 自定義層級]。
    4. 在 [ActiveX 控件和外掛程式] 區段中執行 ActiveX 控件和外掛程式下,按兩下 [提示]。
    5. 在 [腳本] 區段中的 [使用中腳本] 下,按兩下 [提示],然後按兩下 [確定]。
    6. 按兩下 [ 近端內部網络],然後按兩下 [ 自定義層級]。
    7. 在 [ActiveX 控件和外掛程式] 區段中執行 ActiveX 控件和外掛程式下,按兩下 [提示]。
    8. [腳本] 區段中的 [使用中腳本] 下,按兩下 [提示]。
    9. 按兩次返回 Internet Explorer。

    因應措施的影響: 在執行 ActiveX 控制項之前提示有副作用。 位於因特網或內部網路上的許多網站都會使用 ActiveX 來提供其他功能。 例如,在線電子商務網站或銀行網站可能會使用 ActiveX 控件來提供功能表、訂購表單,甚至是帳戶帳單。

    在執行 ActiveX 控制件之前提示是會影響所有因特網和內部網路網站的全域設定。 當您啟用此因應措施時,會經常提示您。 針對每個提示,如果您信任所瀏覽的網站,請按兩下 [ ] 以執行 ActiveX 控制件。 如果您不想提示所有這些網站,請使用「限制網站只限制信任的網站」因應措施。

  • 將網站限制為僅限您信任的網站

    將 Internet Explorer 設定為在因特網區域和近端內部網路區域中執行 ActiveX 控制件和 Active 腳本之前需要提示之後,您可以將信任的網站新增至 Internet Explorer 的 [信任的網站] 區域。 如果您這樣做,您可以像今天一樣繼續使用受信任的網站,同時協助保護您不受不受信任網站的此攻擊。 建議您只將信任的網站新增至 [信任的網站] 區域。

    若要這麼做,請執行下列步驟:

    1. 在 Internet Explorer 中,單擊 [工具] 功能表上的 [因特網選項]。
    2. 按一下 [安全性] 索引標籤。
    3. 在 [ 選取 Web 內容區域以指定其目前的安全性設定 ] 方塊中,按兩下 [ 信任的網站],然後按兩下 [ 網站]。
    4. 如果您想要新增不需要加密通道的網站,請按下 以清除 [需要此區域 所有網站的伺服器驗證 (https:)] 複選框。
    5. 在 [ 將此網站新增至區域 ] 方塊中,輸入您信任的網站 URL,然後按兩下 [ 新增]。
    6. 針對您要新增至區域的每個網站重複這些步驟
    7. 按兩次接受變更,並返回Internet Explorer。

    新增任何您信任的網站,不要在計算機上採取惡意動作。 您可能會想要將 「*.windowsupdate.microsoft.com」 (不含引號)新增至信任的網站區域。 此網站會裝載更新。 此網站會使用 ActiveX 控制件來安裝更新。

  • 如果您使用 Outlook 2000 SP1 或更早版本,請安裝 Outlook 電子郵件安全性更新

    根據預設,Outlook Express 6、Outlook 2002 和 Outlook 2003 會在 [限制的網站] 區域中開啟 HTML 電子郵件訊息。 此外,如果套用 Outlook 電子郵件安全性更新,Outlook 98 和 Outlook 2000 會在受限制的網站區域中開啟 HTML 電子郵件訊息。

    使用任何這些產品的客戶可能會面臨電子郵件傳播攻擊的風險降低,這些攻擊會嘗試利用此弱點,除非使用者按兩下電子郵件訊息中的惡意連結。

  • 如果您使用 Outlook Express 5.5 SP2,請安裝 Microsoft 安全性佈告欄MS04-018隨附的更新。

    如果已套用 Microsoft 安全性公告 MS04-018 隨附的更新,Outlook Express 5.5 Service Pack 2 會在受限制的網站區域中開啟 HTML 電子郵件。

    使用任何這些產品的客戶可能會面臨電子郵件傳播攻擊的風險降低,這些攻擊會嘗試利用此弱點,除非使用者按兩下電子郵件訊息中的惡意連結。

  • 如果您使用 Outlook 2002 或更新版本或 Outlook Express 6 SP1 或更新版本,以純文本格式讀取電子郵件訊息,以協助保護自己免受 HTML 電子郵件攻擊媒介。

    已套用 Office XP Service Pack 1 或更新版本的 Microsoft Outlook 2002 使用者和已套用 Internet Explorer 6 Service Pack 1 的 Microsoft Outlook Express 6 使用者可以啟用此設定,並檢視未以數位簽署或純文本未加密的電子郵件訊息。

    數位簽名的電子郵件訊息或加密的電子郵件訊息不會受到設定的影響,而且可能以原始格式讀取。 如需在 Outlook 2002 中啟用此設定的詳細資訊,請參閱 Microsoft 知識庫文章 307594

    如需 Outlook Express 6 中此設定的相關信息,請參閱 Microsoft 知識庫文章 291387

    因應措施的影響: 以純文本格式檢視的電子郵件訊息將不會包含圖片、特製字型、動畫或其他豐富內容。 此外:

    • 變更會套用至預覽窗格,並開啟訊息。
    • 圖片會變成附件,使其不會遺失。
    • 由於訊息在存放區中仍為 RTF 或 HTML 格式,因此物件模型(自定義程式碼解決方案)的行為可能會非預期。

映射標籤檔案下載弱點中的腳本常見問題 - CAN-2004-0841:

弱點的範圍為何?
這是 Internet Explorer 中的許可權提升 弱點,可能會導致檔案儲存在用戶的系統上。 使用者不會收到要求核准下載的對話框。 若要惡意探索此弱點,攻擊者必須裝載包含網頁的惡意網站,其中包含一個連結,其設計目的是惡意探索此特定弱點,然後說服用戶瀏覽該網站。 如果使用者在該網頁上採取動作,攻擊者選擇的任何程式代碼都可以儲存在用戶系統上的特定位置。

造成弱點的原因為何?
此弱點是因為 Internet Explorer 驗證映像標籤中的腳本的方式所造成。

攻擊者如何利用弱點?
成功惡意探索此弱點的攻擊者可以將所選的程式代碼儲存至使用者的本機文件系統。 雖然此程式代碼無法直接透過此弱點執行,但如果檔案儲存至敏感性位置,操作系統可能會開啟檔案,或者使用者可能會不小心啟動檔案,導致攻擊者的程式代碼執行。

哪些系統主要面臨弱點的風險?
此弱點需要使用者登入並讀取電子郵件或瀏覽網站,才能發生任何惡意動作。 因此,讀取電子郵件的任何系統,或 Internet Explorer 經常使用的位置,例如使用者的工作站或終端伺服器,都面臨此弱點的最大風險。 通常不會用來讀取電子郵件或瀏覽網站的系統,例如大部分的伺服器系統,都面臨風險降低。

Windows 98、Windows 98 第二版或 Windows Millennium Edition 是否受到此弱點嚴重影響?
否。 雖然 Windows 98、Windows 98 第二版和 Windows Millennium Edition 確實包含受影響的元件,但弱點並不重要。 如需嚴重性評等的詳細資訊,請流覽此 Microsoft 網站

更新有何用途?
更新會修改 Internet Explorer 在映像標籤中驗證腳本的方式,以移除弱點。

發佈此安全性布告欄時,是否已公開披露此弱點?
是。 此弱點已公開披露。 它已獲指派常見弱點和暴露號碼 CAN-2004-0841。 此外,它已被安全社區命名為“劫持Click3”。

發佈此安全性布告欄時,Microsoft 是否已收到任何有關此弱點遭到惡意探索的報告?
是。 當安全性布告欄發佈時,我們收到此弱點遭到惡意探索的資訊。

安裝此安全性更新是否有助於保護客戶免於公開發佈並嘗試惡意探索此弱點的程序代碼?
是。 此安全性更新可解決目前正在惡意探索的弱點。 已解決的弱點已獲指派 Common Vulnerability and Exposure number CAN-2004-0841。

SSL 快取弱點 - CAN-2004-0845:

Internet Explorer 驗證來自 SSL 受保護網站的快取內容的方式存在詐騙弱點。 此弱點可讓攻擊者在增強安全性的網站上執行其所選腳本。

降低 SSL 快取弱點的因素 - CAN-2004-0845:

  • 攻擊者必須裝載包含用來惡意探索此弱點之網頁的網站。 攻擊者無法強制使用者流覽惡意網站。 相反地,攻擊者必須說服他們瀏覽網站,通常是讓他們按兩下將他們帶到攻擊者網站的連結。
  • 在用戶流覽合法 SSL 保護的網站之前,攻擊者必須將使用者的流覽從合法網站重新導向至其具有相同主機名的惡意網站。 若要這樣做,攻擊者必須攔截網路流量,或將用戶的系統指向惡意 DNS 伺服器。
  • 下列產品不會受到此弱點的影響。
    • Microsoft Windows XP Service Pack 2 上的 Internet Explorer 6

SSL 快取弱點的因應措施 - CAN-2004-0845:

Microsoft 已測試下列因應措施。 雖然這些因應措施不會更正基礎弱點,但它們有助於封鎖已知的攻擊媒介。 當因應措施減少功能時,其會識別如下。

  • 將進階安全性設定設為未將加密頁面儲存至磁碟。

    您可以藉由將設定變更為不要將加密的內容儲存到磁碟,以協助防範這些弱點。 若要這麼做,請執行下列步驟:

    1. 在 Internet Explorer 中,單擊 [工具] 功能表上的 [因特網選項]。
    2. 按一下 [進階] 索引標籤。
    3. 在 [設定] 底下,捲動至 [安全性]。
    4. [設定] 下方的 [安全性] 區段中,按兩下 [不要將加密的頁面儲存到磁碟]。
    5. 按兩次返回 Internet Explorer。

SSL 快取弱點的常見問題 - CAN-2004-0845:

弱點的範圍為何?
這是資訊洩漏和詐騙弱點。 成功惡意探索此弱點的攻擊者可能會存取受 SSL 保護的網站上的資訊或詐騙內容。

造成弱點的原因為何?
Internet Explorer 的快取 SSL 內容處理。

什麼是 SSL?
安全套接字層 (SSL) 是一種通訊協定,可讓 Web 工作階段加密以獲得更高的安全性。 在 Internet Explorer 中,當您瀏覽網站且瀏覽器視窗右下角會出現黃色鎖定圖示時,目前的會話會受到 SSL 保護。

攻擊者可能會使用弱點來執行哪些動作?
成功惡意探索此弱點的攻擊者可能會存取受 SSL 保護之網站上的資訊或詐騙內容。

攻擊者如何利用弱點?
攻擊者可以藉由建立主機名與合法 SSL 保護網站相同的網站,來惡意探索此弱點。 如果攻擊者接著能夠將導覽從該位址的合法網站重新導向至其惡意網站,攻擊者選擇的專案可能會快取至本機系統。

當使用者在第二個會話中流覽合法網站時,這些專案會在合法網站的內容中載入。 這些專案可能包含文本程式代碼、影像或其他本機快取的內容。 此內容可以製作來取得通常受 SSL 安全性保護的敏感性資訊。

哪些系統主要面臨弱點的風險?
此弱點需要使用者登入並讀取電子郵件或瀏覽網站,才能發生任何惡意動作。 因此,讀取電子郵件的任何系統,或 Internet Explorer 經常使用的位置,例如使用者的工作站或終端伺服器,都面臨此弱點的最大風險。 通常不會用來讀取電子郵件或瀏覽網站的系統,例如大部分的伺服器系統,都面臨風險降低。

Windows 98、Windows 98 第二版或 Windows Millennium Edition 是否受到此弱點嚴重影響?
否。 雖然 Windows 98、Windows 98 第二版和 Windows Millennium Edition 確實包含受影響的元件,但弱點並不重要。 如需嚴重性評等的詳細資訊,請流覽此 Microsoft 網站

更新有何用途?
更新會修改 Internet Explorer 在 SSL 工作階段期間驗證內容的方式,藉以移除弱點。

發佈此安全性布告欄時,是否已公開披露此弱點?
否。 我們透過負責任的洩漏收到有關此弱點的資訊。

安全性更新資訊

安裝平台和必要條件:

如需有關如何判斷您正在執行的 Internet Explorer 版本的其他資訊,請參閱 Microsoft 知識庫文章 164539

如需系統特定安全性更新的相關信息,請按兩下適當的連結:

適用於 Windows Server 2003 的 Internet Explorer 6 (所有版本) 和 Windows XP 64 位版本,版本 2003

先決條件
此更新需要 Windows Server 2003(32 位或 64 位)或 Internet Explorer 6 (版本 6.00.3790.00000 版)上的 Internet Explorer 6 (版本 6.00.3790.0000)在 Windows XP 64 位版本 2003 上。

包含在未來的 Service Pack 中:
這些問題的更新將會包含在 Windows Server 2003 Service Pack 1 中。

安裝資訊

此安全性更新支援下列安裝參數:

/help 顯示命令行選項

設定模式

/quiet Quiet 模式 (沒有使用者互動或顯示)

/被動 自動模式(僅限進度列)

/uninstall 卸載套件

重新啟動選項

/norestart 安裝完成時請勿重新啟動

/forcerestart 安裝後重新啟動

特殊選項

/l 列出已安裝的 Windows Hotfix 或更新套件

/o 覆寫 OEM 檔案而不提示

/n 卸載所需的備份檔

/f 強制其他程式在電腦關閉時關閉

/extract 擷取 檔案而不啟動設定

注意 您可以將這些參數合併成一個命令。 為了回溯相容性,安全性更新也支援舊版安裝程式公用程式所使用的安裝參數。 如需所支援安裝參數的詳細資訊,請參閱 Microsoft 知識庫文章有關支援的安裝參數,請參閱 Microsoft 知識庫文章262841

部署資訊

若要在沒有任何使用者介入的情況下安裝安全性更新,請在 Windows Server 2003 的命令提示字元中使用下列命令:

Windowsserver2003-kb834707-x86-enu /passive /quiet

若要安裝安全性更新而不強制系統重新啟動,請在 Windows Server 2003 的命令提示字元中使用下列命令:

Windowsserver2003-kb834707-x86-enu /norestart

如需如何使用軟體更新服務部署此安全性更新的資訊,請瀏覽 軟體更新服務網站

重新啟動需求

安裝此安全性更新之後,您必須重新啟動系統。 在電腦重新啟動任何版本的此更新之後,您不需要使用系統管理員登入。

拿掉資訊

若要移除此更新,請使用 控制台 中的 [新增或移除程式] 工具。

系統管理員也可以使用 Spuninst.exe 公用程式來移除此安全性更新。 Spuninst.exe公用程式位於 %Windir%\$NTUninstallKB 834707$\Spuninst 資料夾中。 Spuninst.exe公用程式支援下列設定參數:

/?:顯示安裝參數清單。

/u:使用自動模式。

/f:強制其他程式在計算機關機時結束。

/z:安裝完成時請勿重新啟動。

/q:使用無訊息模式(沒有用戶互動)。

檔案資訊

此更新的英文版本具有下表所列的檔案屬性(或更新版本)。 這些檔案的日期和時間會以國際標準時間 (UTC) 列出。 當您檢視檔案資訊時,它會轉換成當地時間。 若要尋找 UTC 與當地時間之間的差異,請使用 控制台 中 [日期和時間] 工具中的 [時區] 索引標籤。

適用於 Windows Server 2003 Enterprise Edition、Windows Server 2003 Standard Edition、Windows Server 2003 Web Edition 和 Windows Server 2003 Datacenter Edition 的 Internet Explorer 6:

Date Time Version Size File name Folder
-----------------------------------------------------------------------
29-Sep-2004 19:40 6.0.3790.212 1,057,792 Browseui.dll RTMGDR
29-Sep-2004 19:40 6.0.3790.218 73,216 Inseng.dll RTMGDR
29-Sep-2004 19:40 6.0.3790.219 2,924,544 Mshtml.dll RTMGDR
29-Sep-2004 19:40 6.0.3790.212 1,395,200 Shdocvw.dll RTMGDR
29-Sep-2004 19:40 6.0.3790.212 287,232 Shlwapi.dll RTMGDR
29-Sep-2004 19:40 6.0.3790.218 513,536 Urlmon.dll RTMGDR
29-Sep-2004 19:40 6.0.3790.218 624,640 Wininet.dll RTMGDR
29-Sep-2004 19:25 6.0.3790.218 1,057,792 Browseui.dll RTMQFE
29-Sep-2004 19:25 6.0.3790.218 73,216 Inseng.dll RTMQFE
29-Sep-2004 19:25 6.0.3790.219 2,924,544 Mshtml.dll RTMQFE
29-Sep-2004 19:25 6.0.3790.214 1,395,712 Shdocvw.dll RTMQFE
29-Sep-2004 19:25 6.0.3790.212 287,232 Shlwapi.dll RTMQFE
29-Sep-2004 19:25 6.0.3790.218 513,536 Urlmon.dll RTMQFE
29-Sep-2004 19:25 6.0.3790.218 625,152 Wininet.dll RTMQFE

適用於 Windows XP 64 位版本的 Internet Explorer 6,版本 2003;Windows Server 2003 64 位 Enterprise Edition 和 Windows Server 2003 64 位 Datacenter Edition:

Date Time Version Size File name Platform Folder
----------------------------------------------------------------------------------
29-Sep-2004 12:40 6.0.3790.212 2,536,960 Browseui.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.218 217,600 Inseng.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.219 8,228,864 Mshtml.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.212 3,362,304 Shdocvw.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.212 738,816 Shlwapi.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.218 1,278,976 Urlmon.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.218 1,503,232 Wininet.dll IA64RTMGDR
29-Sep-2004 12:40 6.0.3790.212 1,057,792 Wbrowseui.dll X86RTMGDR
29-Sep-2004 12:40 6.0.3790.218 73,216 Winseng.dll X86RTMGDR
29-Sep-2004 12:40 6.0.3790.219 2,924,544 Wmshtml.dll X86RTMGDR
29-Sep-2004 12:40 6.0.3790.212 1,395,200 Wshdocvw.dll X86RTMGDR
29-Sep-2004 12:40 6.0.3790.212 287,232 Wshlwapi.dll X86RTMGDR
29-Sep-2004 12:40 6.0.3790.218 513,536 Wurlmon.dll X86RTMGDR
29-Sep-2004 12:40 6.0.3790.218 624,640 Wwininet.dll X86RTMGDR
29-Sep-2004 12:21 6.0.3790.218 2,536,960 Browseui.dll IA64RTMQFE
29-Sep-2004 12:21 6.0.3790.218 217,600 Inseng.dll IA64RTMQFE
29-Sep-2004 12:21 6.0.3790.219 8,230,400 Mshtml.dll IA64RTMQFE
29-Sep-2004 12:21 6.0.3790.214 3,364,864 Shdocvw.dll IA64RTMQFE
29-Sep-2004 12:21 6.0.3790.212 738,816 Shlwapi.dll IA64RTMQFE
29-Sep-2004 12:21 6.0.3790.218 1,278,976 Urlmon.dll IA64RTMQFE
29-Sep-2004 12:21 6.0.3790.218 1,503,744 Wininet.dll IA64RTMQFE
29-Sep-2004 12:25 6.0.3790.218 1,057,792 Wbrowseui.dll X86RTMQFE
29-Sep-2004 12:25 6.0.3790.218 73,216 Winseng.dll X86RTMQFE
29-Sep-2004 12:25 6.0.3790.219 2,924,544 Wmshtml.dll X86RTMQFE
29-Sep-2004 12:25 6.0.3790.214 1,395,712 Wshdocvw.dll X86RTMQFE
29-Sep-2004 12:25 6.0.3790.212 287,232 Wshlwapi.dll X86RTMQFE
29-Sep-2004 12:25 6.0.3790.218 513,536 Wurlmon.dll X86RTMQFE
29-Sep-2004 12:25 6.0.3790.218 625,152 Wwininet.dll X86RTMQFE

注意 當您在 Windows Server 2003 或 Windows XP 64 位版本 2003 上安裝此安全性更新時,安裝程式會檢查系統上是否有任何更新的檔案先前已由 Microsoft Hotfix 更新。 如果您先前已安裝 Hotfix 以更新其中一個檔案,安裝程式會將 RTMQFE 檔案複製到您的系統。 否則,安裝程式會將 RTMGDR 檔案複製到您的系統。 如需詳細資訊,請參閱 Microsoft 知識庫文章824994

驗證更新安裝

  • Microsoft Baseline Security Analyzer

    若要確認安全性更新已安裝在受影響的系統上,您可以使用 Microsoft Baseline Security Analyzer (MBSA) 工具。 此工具可讓系統管理員掃描本機和遠端系統是否有遺漏的安全性更新,以及常見的安全性設定錯誤。 如需 MBSA 的詳細資訊,請流覽 Microsoft 基準安全性分析器網站

  • 檔案版本驗證

    注意 因為 Microsoft Windows 有數個版本,因此您的計算機上下列步驟可能不同。 如果是,請參閱您的產品檔,以完成這些步驟。

    1. 按兩下 [ 開始],然後按兩下 [ 搜尋]。
    2. 在 [搜尋結果] 窗格中,單擊 [搜尋隨附] 底下的 [所有檔案和資料夾]。
    3. 在 [ 檔名的所有或部分] 方塊中,從適當的檔案信息數據表輸入檔名,然後按兩下 [ 搜尋]。
    4. 在檔案清單中,以滑鼠右鍵按兩下適當檔案資訊資料表中的檔名,然後按兩下 [ 屬性]。

    注意 根據安裝的作業系統或程式版本而定,可能不會安裝檔案資訊表中所列的一些檔案。

    1. 在 [ 版本] 索引標籤上,藉由將它與適當檔案資訊表中記載的版本進行比較,來判斷計算機上安裝的檔案版本。

    注意 檔案版本以外的屬性可能會在安裝期間變更。 比較其他檔案屬性與檔案信息數據表中的資訊不是驗證更新安裝的支援方法。 此外,在某些情況下,可能會在安裝期間重新命名檔案。 如果檔案或版本資訊不存在,請使用其他其中一個可用方法來驗證更新安裝。

  • 登錄機碼驗證

    您也可以確認 已安裝 DWORD 值且資料值為 1 的已安裝 DWORD 值存在於下列登入機碼中,以確認此安全性更新已安裝的檔案。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB834707

適用於 Windows XP Service Pack 2 的 Internet Explorer 6

先決條件
此更新需要 Windows XP Service Pack 2 上的 Internet Explorer 6 (版本 6.00.2900.2180)。

包含在未來的 Service Pack 中:
此問題的更新將會包含在任何未來的 Windows XP Service Pack 中。

安裝資訊

此安全性更新支援下列安裝參數:

/help 顯示命令行選項

設定模式

/quiet Quiet 模式 (沒有使用者互動或顯示)

/被動 自動模式(僅限進度列)

/uninstall 卸載套件

重新啟動選項

/norestart 安裝完成時請勿重新啟動

/forcerestart 安裝後重新啟動

特殊選項

/l 列出已安裝的 Windows Hotfix 或更新套件

/o 覆寫 OEM 檔案而不提示

/n 卸載所需的備份檔

/f 強制其他程式在電腦關閉時關閉

/extract 擷取 檔案而不啟動設定

注意 您可以將這些參數合併成一個命令。 為了回溯相容性,安全性更新也支援舊版安裝程式公用程式所使用的安裝參數。 如需所支援安裝參數的詳細資訊,請參閱 Microsoft 知識庫文章有關支援的安裝參數,請參閱 Microsoft 知識庫文章262841

部署資訊

若要在沒有任何使用者介入的情況下安裝安全性更新,請在 Windows XP SP2 的命令提示字元中使用下列命令:

WindowXP-kb834707-x86-enu /passive /quiet

若要安裝安全性更新而不強制系統重新啟動,請在 Windows Server 2003 的命令提示字元中使用下列命令:

WindowsXP-kb834707-x86-enu /norestart

如需如何使用軟體更新服務部署此安全性更新的資訊,請瀏覽 軟體更新服務網站

重新啟動需求

安裝此安全性更新之後,您必須重新啟動系統。 在電腦重新啟動任何版本的此更新之後,您不需要使用系統管理員登入。

拿掉資訊

若要移除此更新,請使用 控制台 中的 [新增或移除程式] 工具。 若要查看 [新增或移除程式] 中已安裝的更新清單,用戶必須先核取 [顯示 更新] 複選框。

系統管理員也可以使用 Spuninst.exe 公用程式來移除此安全性更新。 Spuninst.exe公用程式位於 %Windir%\$NTUninstallKB 834707$\Spuninst 資料夾中。 Spuninst.exe公用程式支援下列設定參數:

/?:顯示安裝參數清單。

/u:使用自動模式。

/f:強制其他程式在計算機關機時結束。

/z:安裝完成時請勿重新啟動。

/q:使用無訊息模式(沒有用戶互動)。

檔案資訊

此更新的英文版本具有下表所列的檔案屬性(或更新版本)。 這些檔案的日期和時間會以國際標準時間 (UTC) 列出。 當您檢視檔案資訊時,它會轉換成當地時間。 若要尋找 UTC 與當地時間之間的差異,請使用 控制台 中 [日期和時間] 工具中的 [時區] 索引標籤。

適用於 Windows XP Service Pack 2 的 Internet Explorer 6:

Date Time Version Size File name Platform Folder
----------------------------------------------------------------------------------
29-Sep-2004 18:47 6.0.2900.2518 1,016,832 Browseui.dll X86SP2GDR
29-Sep-2004 18:47 6.0.2900.2523 3,004,928 Mshtml.dll X86SP2GDR
29-Sep-2004 18:47 6.0.2900.2518 1,483,264 Shdocvw.dll X86SP2GDR
29-Sep-2004 18:47 6.0.2900.2518 603,648 Urlmon.dll X86SP2GDR
29-Sep-2004 18:47 6.0.2900.2518 656,896 Wininet.dll X86SP2GDR
29-Sep-2004 18:27 6.0.2900.2518 1,016,832 Browseui.dll X86SP2QFE
29-Sep-2004 18:27 6.0.2900.2524 3,004,928 Mshtml.dll X86SP2QFE
29-Sep-2004 18:27 6.0.2900.2520 1,483,264 Shdocvw.dll X86SP2QFE
29-Sep-2004 18:27 6.0.2900.2518 603,648 Urlmon.dll X86SP2QFE
29-Sep-2004 18:27 6.0.2900.2518 656,896 Wininet.dll X86SP2QFE

注意 當您在 Windows XP Service Pack 2 上安裝此安全性更新時,安裝程式會檢查是否已由 Microsoft Hotfix 更新系統上的任何檔案。 如果您先前已安裝 Hotfix 以更新其中一個檔案,安裝程式會將X86SP2QFE檔案複製到您的系統。 否則,安裝程式會將X86SP2GDR檔案複製到您的系統。 如需詳細資訊,請參閱 Microsoft 知識庫文章824994

驗證更新安裝

  • Microsoft Baseline Security Analyzer

    若要確認安全性更新已安裝在受影響的系統上,您可以使用 Microsoft Baseline Security Analyzer (MBSA) 工具。 此工具可讓系統管理員掃描本機和遠端系統是否有遺漏的安全性更新,以及常見的安全性設定錯誤。 如需 MBSA 的詳細資訊,請流覽 Microsoft 基準安全性分析器網站

  • 檔案版本驗證

    注意 因為 Microsoft Windows 有數個版本,因此您的計算機上下列步驟可能不同。 如果是,請參閱您的產品檔,以完成這些步驟。

    1. 按兩下 [ 開始],然後按兩下 [ 搜尋]。
    2. 在 [搜尋結果] 窗格中,單擊 [搜尋隨附] 底下的 [所有檔案和資料夾]。
    3. 在 [ 檔名的所有或部分] 方塊中,從適當的檔案信息數據表輸入檔名,然後按兩下 [ 搜尋]。
    4. 在檔案清單中,以滑鼠右鍵按兩下適當檔案資訊資料表中的檔名,然後按兩下 [ 屬性]。

    注意 根據安裝的作業系統或程式版本而定,可能不會安裝檔案資訊表中所列的一些檔案。

    1. 在 [ 版本] 索引標籤上,藉由將它與適當檔案資訊表中記載的版本進行比較,來判斷計算機上安裝的檔案版本。

    注意 檔案版本以外的屬性可能會在安裝期間變更。 比較其他檔案屬性與檔案信息數據表中的資訊不是驗證更新安裝的支援方法。 此外,在某些情況下,可能會在安裝期間重新命名檔案。 如果檔案或版本資訊不存在,請使用其他其中一個可用方法來驗證更新安裝。

  • 登錄機碼驗證

    您也可以確認 已安裝 DWORD 值且資料值為 1 的已安裝 DWORD 值存在於下列登入機碼中,以確認此安全性更新已安裝的檔案。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB834707

適用於 Windows XP 的 Internet Explorer 6 SP1 (最多包含 Service Pack 1)、Windows 2000 (所有版本)

注意 針對 Windows XP 64 位版本 2003,此安全性更新與 Windows Server 2003 64 位版本安全性更新相同。

先決條件
若要安裝此更新的 Internet Explorer 6 Service Pack 1 (SP1) 版本,您必須在下列其中一個 Windows 版本上執行 Internet Explorer 6 SP1 (版本 6.00.2800.1106):

  • Microsoft Windows 2000 Service Pack 3、Service Pack 4
  • Microsoft Windows XP
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP 64 位版本,Service Pack 1

安裝資訊

此安全性更新支援下列安裝參數:

/help 顯示命令行選項

設定模式

/quiet Quiet 模式 (沒有使用者互動或顯示)

/被動 自動模式(僅限進度列)

/uninstall 卸載套件

重新啟動選項

/norestart 安裝完成時請勿重新啟動

/forcerestart 安裝後重新啟動

特殊選項

/l 列出已安裝的 Windows Hotfix 或更新套件

/o 覆寫 OEM 檔案而不提示

/n 卸載所需的備份檔

/f 強制其他程式在電腦關閉時關閉

/extract 擷取 檔案而不啟動設定

注意 您可以將這些參數合併成一個命令。 為了回溯相容性,安全性更新也支援舊版安裝程式公用程式所使用的安裝參數。 如需所支援安裝參數的詳細資訊,請參閱 Microsoft 知識庫文章有關支援的安裝參數,請參閱 Microsoft 知識庫文章262841

部署資訊

若要在沒有任何使用者介入的情況下安裝安全性更新,請在 Windows XP SP1 的命令提示字元中使用下列命令:

IE6.0sp1-KB834707-Windows-2000-XP-x86-enu /passive /quiet

若要安裝安全性更新而不強制系統重新啟動,請在 Windows Server 2003 的命令提示字元中使用下列命令:

IE6.0sp1-KB834707-Windows-2000-XP-x86-enu /norestart

如需如何使用軟體更新服務部署此安全性更新的資訊,請瀏覽 軟體更新服務網站

如需如何使用 SMS 部署此更新的資訊,請參閱下列 Microsoft 知識庫文章887437。

重新啟動需求

安裝此安全性更新之後,您必須重新啟動系統。 在電腦重新啟動任何版本的此更新之後,您不需要使用系統管理員登入。

拿掉資訊

若要移除此更新,請使用 控制台 中的 [新增或移除程式] 工具。 參考此更新的專案會將其列為 Windows 更新,而不是 Internet Explorer 更新。 這是從過去的 Internet Explorer 累積安全性 更新 變更。

系統管理員也可以使用 Spuninst.exe 公用程式來移除此安全性更新。 Spuninst.exe公用程式位於Windir%\$NTUninstallKB 834707-ie6sp1-20040929.091901$\Spuninst 資料夾。 Spuninst.exe公用程式支援下列設定參數:

/?:顯示安裝參數清單。

/u:使用自動模式。

/f:強制其他程式在計算機關機時結束。

/z:安裝完成時請勿重新啟動。

/q:使用無訊息模式(沒有用戶互動)。

檔案資訊

此更新的英文版本具有下表所列的檔案屬性(或更新版本)。 這些檔案的日期和時間會以國際標準時間 (UTC) 列出。 當您檢視檔案資訊時,它會轉換成當地時間。 若要尋找 UTC 與當地時間之間的差異,請使用 控制台 中 [日期和時間] 工具中的 [時區] 索引標籤。

Windows 2000、Windows XP 和 Windows 2003 上的 Internet Explorer 6 Service Pack 1:

Date Time Version Size File name Platform
----------------------------------------------------------------------
23-Aug-2004 02:34 6.0.2800.1584 1,025,536 Browseui.dll X86
26-Aug-2004 17:53 6.0.2800.1469 69,632 Inseng.dll X86
29-Sep-2004 07:57 6.0.2800.1476 2,805,760 Mshtml.dll X86
27-Aug-2004 20:58 6.0.2800.1584 1,340,416 Shdocvw.dll X86
20-Aug-2004 22:01 6.0.2800.1584 422,912 Shlwapi.dll X86
24-Sep-2004 00:08 6.0.2800.1474 487,936 Urlmon.dll X86
24-Aug-2004 03:32 6.0.2800.1468 589,312 Wininet.dll X86

Windows XP 上的 Internet Explorer 6 Service Pack 1 (64 位版本) :

Date Time Version Size File name Platform
----------------------------------------------------------------------
22-Aug-2004 23:49 6.0.2800.1584 2,855,936 Browseui.dll IA64
26-Aug-2004 17:53 6.0.2800.1469 230,912 Inseng.dll IA64
29-Sep-2004 07:28 6.0.2800.1476 9,107,456 Mshtml.dll IA64
22-Aug-2004 23:47 6.0.2800.1584 3,651,584 Shdocvw.dll IA64
20-Aug-2004 21:52 6.0.2800.1584 1,117,184 Shlwapi.dll IA64
23-Sep-2004 23:14 6.0.2800.1474 1,424,384 Urlmon.dll IA64
24-Aug-2004 01:56 6.0.2800.1468 1,798,656 Wininet.dll IA64
23-Aug-2004 02:34 6.0.2800.1584 1,025,536 Wbrowseui.dll X86
26-Aug-2004 17:53 6.0.2800.1469 69,632 Winseng.dll X86
29-Sep-2004 07:57 6.0.2800.1476 2,805,760 Wmshtml.dll X86
27-Aug-2004 20:58 6.0.2800.1584 1,340,416 Wshdocvw.dll X86
20-Aug-2004 22:01 6.0.2800.1584 422,912 Wshlwapi.dll X86
24-Sep-2004 00:08 6.0.2800.1474 487,936 Wurlmon.dll X86
24-Aug-2004 03:32 6.0.2800.1468 589,312 Wwininet.dll X86

驗證更新安裝

  • Microsoft Baseline Security Analyzer

    若要確認安全性更新已安裝在受影響的系統上,您可以使用 Microsoft Baseline Security Analyzer (MBSA) 工具。 此工具可讓系統管理員掃描本機和遠端系統是否有遺漏的安全性更新,以及常見的安全性設定錯誤。 如需 MBSA 的詳細資訊,請流覽 Microsoft 基準安全性分析器網站

  • 檔案版本驗證

    注意 因為 Microsoft Windows 有數個版本,因此您的計算機上下列步驟可能不同。 如果是,請參閱您的產品檔,以完成這些步驟。

    1. 按兩下 [ 開始],然後按兩下 [ 搜尋]。
    2. 在 [搜尋結果] 窗格中,單擊 [搜尋隨附] 底下的 [所有檔案和資料夾]。
    3. 在 [ 檔名的所有或部分] 方塊中,從適當的檔案信息數據表輸入檔名,然後按兩下 [ 搜尋]。
    4. 在檔案清單中,以滑鼠右鍵按兩下適當檔案資訊資料表中的檔名,然後按兩下 [ 屬性]。

    注意 根據安裝的作業系統或程式版本而定,可能不會安裝檔案資訊表中所列的一些檔案。

    1. 在 [ 版本] 索引標籤上,藉由將它與適當檔案資訊表中記載的版本進行比較,來判斷計算機上安裝的檔案版本。

    注意 檔案版本以外的屬性可能會在安裝期間變更。 比較其他檔案屬性與檔案信息數據表中的資訊不是驗證更新安裝的支援方法。 此外,在某些情況下,可能會在安裝期間重新命名檔案。 如果檔案或版本資訊不存在,請使用其他其中一個可用方法來驗證更新安裝。

  • 登錄機碼驗證

    您也可以確認已安裝 DWORD 值且資料值為 1 的已安裝 DWORD 值存在於下列登入機碼中,以確認此安全性更新已安裝的檔案。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB834707-ie6sp1-20040929.091901

適用於 Windows NT Server 4.0 Service Pack 6a 的 Internet Explorer 6 SP1(所有版本)、Windows Millennium Edition(Me)和 Windows 98(所有版本)

先決條件
若要安裝此更新的 Internet Explorer 6 Service Pack 1 (SP1) 版本,您必須在下列其中一個 Windows 版本上執行 Internet Explorer 6 SP1 (版本 6.00.2800.1106):

  • Microsoft Windows 98
  • Microsoft Windows 98 第二版 (SE)
  • Microsoft Windows Millennium Edition (我)
  • Microsoft Windows NT Server 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 終端機伺服器版本,Service Pack 6

注意 本文中未列出的 Windows 版本和 Internet Explorer 版本不再受到支援或不會影響。 Microsoft 建議您升級至支援的 Windows 和 Internet Explorer 版本,然後安裝適當的更新。

如需 Windows 元件支援生命週期的詳細資訊,請參閱下列 Microsoft 支援服務 生命周期網站

如需如何取得 Internet Explorer 6 最新 Service Pack 的詳細資訊,請參閱 Microsoft 知識庫文章328548

包含在未來的 Service Pack 中:
此問題的更新將會包含在未來的 Windows XP 版本中。

安全性更新支援下列設定參數:

/Q 指定擷取檔案時的無訊息模式,或隱藏提示。

/Q:U 指定使用者無訊息模式,向用戶呈現一些對話方塊。

/問:A 指定系統管理員無訊息模式,不會向用戶顯示任何對話方塊。

/T<完整路徑> 指定用來擷取檔案的目標資料夾。

/C 擷取檔案而不安裝它們。 如果未指定 /T: 路徑,系統會提示您輸入目標資料夾。

/C<作者所定義的 Cmd> 覆寫安裝命令。 指定 Setup .inf 或 .exe 檔案的路徑和名稱。

/R:N 安裝之後絕不會重新啟動計算機。

/R:I 在需要重新啟動時提示使用者重新啟動計算機,但搭配 /Q:A 使用時除外。

/R:A 在安裝之後一律會重新啟動電腦。

/R:S 在安裝後重新啟動計算機,而不提示使用者。

/N:V 沒有版本檢查 - 透過任何舊版安裝程式。

注意 這些參數不一定適用於所有更新。 如果交換器無法使用,則需要該功能才能正確安裝更新。 此外,不支援使用 /N:V 參數,而且可能會導致無法啟動的系統。 如果安裝失敗,您應該諮詢支持專業人員以瞭解安裝失敗的原因。

如需所支援安裝參數的其他資訊,請參閱 Microsoft 知識庫文章197147

部署資訊

例如,若要在沒有任何使用者介入的情況下安裝更新,而不強制系統重新啟動,請在命令提示字元中使用下列命令:

IE6.0sp1-KB834707-Windows NT4sp6a-98-ME-x86-ENU.exe /q:a /r:n

如需如何使用軟體更新服務部署此安全性更新的資訊,請瀏覽 軟體更新服務網站

如需如何使用 SMS 部署此更新的資訊,請參閱 Microsoft 知識庫文章887437

重新啟動需求

安裝此安全性更新之後,您必須重新啟動系統。

若要移除此更新,請使用 控制台 中的 [新增或移除程式] 工具。 按兩下 Internet Explorer 834707,然後按兩下 [變更/移除] (或按兩下[新增/移除]。

系統管理員可以使用 Ieuninst.exe 公用程式來移除此更新。 此安全性更新會在 %Windir% 資料夾中安裝Ieuninst.exe公用程式。 此公用程式支援下列設定參數:

/:顯示支持的參數清單

/z:安裝完成時請勿重新啟動

/:使用無訊息模式(無使用者互動)

例如,若要以無訊息方式移除此更新,請使用下列命令:

c:\windows\ieuninst /q c:\windows\inf\q834707.inf

注意 此命令假設 Windows 已安裝在 C:\Windows 資料夾中。

檔案資訊

此更新的英文版本具有下表所列的檔案屬性(或更新版本)。 這些檔案的日期和時間會以國際標準時間 (UTC) 列出。 當您檢視檔案資訊時,它會轉換成當地時間。 若要尋找 UTC 與當地時間之間的差異,請使用 控制台 中 [日期和時間] 工具中的 [時區] 索引標籤。

Windows 98、Windows 98 SE、Windows Me 和 Windows NT 上的 Internet Explorer 6 Service Pack 1:

Date Time Version Size File name Platform
----------------------------------------------------------------------
22-Aug-2004 19:34 6.0.2800.1584 1,025,536 Browseui.dll X86
26-Aug-2004 10:53 6.0.2800.1469 69,632 Inseng.dll X86
29-Sep-2004 00:57 6.0.2800.1476 2,805,760 Mshtml.dll X86
27-Aug-2004 13:58 6.0.2800.1584 1,340,416 Shdocvw.dll X86
20-Aug-2004 15:01 6.0.2800.1584 422,912 Shlwapi.dll X86
23-Sep-2004 17:08 6.0.2800.1474 487,936 Urlmon.dll X86
23-Aug-2004 20:32 6.0.2800.1468 589,312 Wininet.dll X86

驗證更新安裝

  • Microsoft Baseline Security Analyzer

    若要確認安全性更新已安裝在受影響的系統上,您可以使用 Microsoft Baseline Security Analyzer (MBSA) 工具。 此工具可讓系統管理員掃描本機和遠端系統是否有遺漏的安全性更新,以及常見的安全性設定錯誤。 如需 MBSA 的詳細資訊,請流覽 Microsoft 基準安全性分析器網站

  • 檔案版本驗證

    注意 因為 Microsoft Windows 有數個版本,因此您的計算機上下列步驟可能不同。 如果是,請參閱您的產品檔,以完成這些步驟。

    1. 按兩下 [ 開始],然後按兩下 [ 搜尋]。
    2. 在 [搜尋結果] 窗格中,單擊 [搜尋隨附] 底下的 [所有檔案和資料夾]。
    3. 在 [ 檔名的所有或部分] 方塊中,從適當的檔案信息數據表輸入檔名,然後按兩下 [ 搜尋]。
    4. 在檔案清單中,以滑鼠右鍵按兩下適當檔案資訊資料表中的檔名,然後按兩下 [ 屬性]。

    注意 根據安裝的作業系統或程式版本而定,可能不會安裝檔案資訊表中所列的一些檔案。

    1. 在 [ 版本] 索引標籤上,藉由將它與適當檔案資訊表中記載的版本進行比較,來判斷計算機上安裝的檔案版本。

    注意 檔案版本以外的屬性可能會在安裝期間變更。 比較其他檔案屬性與檔案信息數據表中的資訊不是驗證更新安裝的支援方法。 此外,在某些情況下,可能會在安裝期間重新命名檔案。 如果檔案或版本資訊不存在,請使用其他其中一個可用方法來驗證更新安裝。

  • 登錄機碼驗證

您也可以檢閱下列登入機碼,確認此安全性更新已安裝的檔案:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3e7bb08a-a7a3-4692-8eac-ac5e7895755b}

注意 確認 IsInstalled DWORD 值與數據值為 1 的數據會出現在登錄機碼中。

  • 程式版本驗證

確認Q834707列在 [關於 Internet Explorer] 對話方塊的 [更新版本] 字段中

適用於 Windows XP 的 Internet Explorer 6

先決條件
若要安裝此更新的 Internet Explorer 6 版本,您必須在 32 位版本的 Windows XP 上執行 Internet Explorer 6 (6.00.2600.0000 版)。

注意 本文中未列出的 Windows 版本和 Internet Explorer 版本不再受到支援或不會影響。 Microsoft 建議您升級至支援的 Windows 和 Internet Explorer 版本,然後安裝適當的更新。

如需 Windows 元件支援生命週期的詳細資訊,請參閱下列 Microsoft 支援服務 生命周期網站

如需如何取得 Internet Explorer 6 最新 Service Pack 的詳細資訊,請參閱 Microsoft 知識庫文章328548

安裝資訊

此安全性更新支援下列安裝參數:

/help 顯示命令行選項

設定模式

/quiet Quiet 模式 (沒有使用者互動或顯示)

/被動 自動模式(僅限進度列)

/uninstall 卸載套件

重新啟動選項

/norestart 安裝完成時請勿重新啟動

/forcerestart 安裝後重新啟動

特殊選項

/l 列出已安裝的 Windows Hotfix 或更新套件

/o 覆寫 OEM 檔案而不提示

/n 卸載所需的備份檔

/f 強制其他程式在電腦關閉時關閉

/extract 擷取 檔案而不啟動設定

注意 您可以將這些參數合併成一個命令。 為了回溯相容性,安全性更新也支援舊版安裝程式公用程式所使用的安裝參數。 如需所支援安裝參數的詳細資訊,請參閱 Microsoft 知識庫文章有關支援的安裝參數,請參閱 Microsoft 知識庫文章262841

部署資訊

若要在沒有任何使用者介入的情況下安裝安全性更新,請在 Windows XP SP2 的命令提示字元中使用下列命令:

IE6.0-KB834707-WindowsXP-x86-ENU.exe /passive /quiet

若要安裝安全性更新而不強制系統重新啟動,請在 Windows Server 2003 的命令提示字元中使用下列命令:

IE6.0-KB834707-WindowsXP-x86-ENU.exe /norestart

如需如何使用軟體更新服務部署此安全性更新的資訊,請瀏覽 軟體更新服務網站

重新啟動需求

安裝此安全性更新之後,您必須重新啟動系統。 在電腦重新啟動任何版本的此更新之後,您不需要使用系統管理員登入。

拿掉資訊

若要移除此更新,請使用 控制台 中的 [新增或移除程式] 工具。 參考此更新的專案會將其列為 Windows 更新,而不是 Internet Explorer 更新。 這是從過去的 Internet Explorer 累積安全性 更新 變更。

系統管理員也可以使用 Spuninst.exe 公用程式來移除此安全性更新。 Spuninst.exe公用程式位於 %Windir%\$NTUninstallKB 834707-ie6-20040929.115007$\Spuninst 資料夾中。 Spuninst.exe公用程式支援下列設定參數:

/?:顯示安裝參數清單。

/u:使用自動模式。

/f:強制其他程式在計算機關機時結束。

/z:安裝完成時請勿重新啟動。

/q:使用無訊息模式(沒有用戶互動)。

檔案資訊

此更新的英文版本具有下表所列的檔案屬性(或更新版本)。 這些檔案的日期和時間會以國際標準時間 (UTC) 列出。 當您檢視檔案資訊時,它會轉換成當地時間。 若要尋找 UTC 與當地時間之間的差異,請使用 控制台 中 [日期和時間] 工具中的 [時區] 索引標籤。

Internet Explorer 6:

Date Time Version Size File name Platform
---------------------------------------------------------------------
16-Jan-2004 12:29 6.0.2737.1600 1,024,512 Browseui.dll X86
26-Aug-2004 18:17 6.0.2744.2600 69,632 Inseng.dll X86
29-Sep-2004 08:45 6.0.2745.2800 2,772,992 Mshtml.dll X86
15-Aug-2003 20:31 6.0.2722.900 34,304 Pngfilt.dll X86
05-Mar-2002 04:09 6.0.2715.400 548,864 Shdoclc.dll X86
27-Aug-2004 19:57 6.0.2750.167 1,332,224 Shdocvw.dll X86
20-Aug-2004 21:41 6.0.2750.167 393,728 Shlwapi.dll X86
15-Aug-2003 20:31 6.0.2715.400 109,568 Url.dll X86
23-Sep-2004 23:07 6.0.2745.2300 485,376 Urlmon.dll X86
08-Jan-2004 23:23 6.0.2737.800 585,216 Wininet.dll X86

驗證更新安裝

  • Microsoft Baseline Security Analyzer

    若要確認安全性更新已安裝在受影響的系統上,您可以使用 Microsoft Baseline Security Analyzer (MBSA) 工具。 此工具可讓系統管理員掃描本機和遠端系統是否有遺漏的安全性更新,以及常見的安全性設定錯誤。 如需 MBSA 的詳細資訊,請流覽 Microsoft 基準安全性分析器網站

  • 檔案版本驗證

    注意 因為 Microsoft Windows 有數個版本,因此您的計算機上下列步驟可能不同。 如果是,請參閱您的產品檔,以完成這些步驟。

    1. 按兩下 [ 開始],然後按兩下 [ 搜尋]。
    2. 在 [搜尋結果] 窗格中,單擊 [搜尋隨附] 底下的 [所有檔案和資料夾]。
    3. 在 [ 檔名的所有或部分] 方塊中,從適當的檔案信息數據表輸入檔名,然後按兩下 [ 搜尋]。
    4. 在檔案清單中,以滑鼠右鍵按兩下適當檔案資訊資料表中的檔名,然後按兩下 [ 屬性]。

    注意 根據安裝的作業系統或程式版本而定,可能不會安裝檔案資訊表中所列的一些檔案。

    1. 在 [ 版本] 索引標籤上,藉由將它與適當檔案資訊表中記載的版本進行比較,來判斷計算機上安裝的檔案版本。

    注意 檔案版本以外的屬性可能會在安裝期間變更。 比較其他檔案屬性與檔案信息數據表中的資訊不是驗證更新安裝的支援方法。 此外,在某些情況下,可能會在安裝期間重新命名檔案。 如果檔案或版本資訊不存在,請使用其他其中一個可用方法來驗證更新安裝。

  • 登錄機碼驗證

    您也可以確認已安裝 DWORD 值且資料值為 1 的已安裝 DWORD 值存在於下列登入機碼中,以確認此安全性更新已安裝的檔案。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB834707-ie6-20040929.115007

適用於 Windows Millennium Edition 的 Internet Explorer 5.5 SP2 (我)

先決條件
若要安裝此更新的 Internet Explorer 5.5 版本,您必須在 Microsoft Windows Millennium Edition 上執行 Internet Explorer 5.5 Service Pack 2 (5.50.4807.2300 版)

注意: Windows Millennium Edition (Me) 目前僅支援 Internet Explorer 5.5 SP2。 如需 Internet Explorer 5.5 SP2 支援的詳細資訊,請參閱下列 Microsoft 產品生命週期頁面。 Windows Me 目前處於外延支援中。 如需 Windows Me 支援的詳細資訊,請參閱下列 公告

如需 Windows 元件支援生命週期的詳細資訊,請參閱下列 Microsoft 支援服務 生命周期網站

安全性更新支援下列設定參數:

/Q 指定擷取檔案時的無訊息模式,或隱藏提示。

/Q:U 指定使用者無訊息模式,向用戶呈現一些對話方塊。

/問:A 指定系統管理員無訊息模式,不會向用戶顯示任何對話方塊。

/T<完整路徑> 指定用來擷取檔案的目標資料夾。

/C 擷取檔案而不安裝它們。 如果未指定 /T: 路徑,系統會提示您輸入目標資料夾。

/C<作者所定義的 Cmd> 覆寫安裝命令。 指定 Setup .inf 或 .exe 檔案的路徑和名稱。

/R:N 安裝之後絕不會重新啟動計算機。

/R:I 在需要重新啟動時提示使用者重新啟動計算機,但搭配 /Q:A 使用時除外。

/R:A 在安裝之後一律會重新啟動電腦。

/R:S 在安裝後重新啟動計算機,而不提示使用者。

/N:V 沒有版本檢查 - 透過任何舊版安裝程式。

注意 這些參數不一定適用於所有更新。 如果交換器無法使用,則需要該功能才能正確安裝更新。 此外,不支援使用 /N:V 參數,而且可能會導致無法啟動的系統。 如果安裝失敗,您應該諮詢支持專業人員以瞭解安裝失敗的原因。

如需所支援安裝參數的其他資訊,請參閱 Microsoft 知識庫文章197147

部署資訊

例如,若要在沒有任何使用者介入的情況下安裝更新,而不強制系統重新啟動,請在命令提示字元中使用下列命令:

IE5.5sp2-KB834707-WindowsME-x86-ENU.exe/q:a /r:n

重新啟動需求

安裝此安全性更新之後,您必須重新啟動系統。

若要移除此更新,請使用 控制台 中的 [新增或移除程式] 工具。 按兩下 Internet Explorer 834707,然後按兩下 [變更/移除] (或按兩下[新增/移除]。

系統管理員可以使用 Ieuninst.exe 公用程式來移除此更新。 此安全性更新會在 %Windir% 資料夾中安裝Ieuninst.exe公用程式。 此公用程式支援下列設定參數:

/:顯示支持的參數清單

/z:安裝完成時請勿重新啟動

/:使用無訊息模式(無使用者互動)

例如,若要以無訊息方式移除此更新,請使用下列命令:

c:\windows\ieuninst /q c:\windows\inf\q834707.inf

注意 此命令假設 Windows 已安裝在 C:\Windows 資料夾中。

檔案資訊

此更新的英文版本具有下表所列的檔案屬性(或更新版本)。 這些檔案的日期和時間會以國際標準時間 (UTC) 列出。 當您檢視檔案資訊時,它會轉換成當地時間。 若要尋找 UTC 與當地時間之間的差異,請使用 控制台 中 [日期和時間] 工具中的 [時區] 索引標籤。

適用於 Windows Millennium Edition 的 Internet Explorer 5.5 Service Pack 2 (我):

Date Time Version Size File name Platform
---------------------------------------------------------------------
04-Jul-2004 12:30 5.50.4943.400 796,432 Browseui.dll X86
26-Aug-2004 18:36 5.50.4944.2600 75,024 Inseng.dll X86
29-Sep-2004 08:30 5.50.4945.2800 2,667,280 Mshtml.dll X86
17-Oct-2002 03:01 5.50.4922.900 48,912 Pngfilt.dll X86
27-Aug-2004 20:05 5.50.4944.2700 1,141,008 Shdocvw.dll X86
24-Aug-2004 00:05 5.50.4944.2300 293,648 Shlwapi.dll X86
05-Mar-2002 05:53 5.50.4915.500 84,240 Url.dll X86
24-Sep-2004 22:03 5.50.4945.2400 412,432 Urlmon.dll X86
03-Sep-2004 02:07 5.50.4945.200 464,144 Wininet.dll X86

驗證更新安裝

  • 檔案版本驗證

    注意 因為 Microsoft Windows 有數個版本,因此您的計算機上下列步驟可能不同。 如果是,請參閱您的產品檔,以完成這些步驟。

    1. 按兩下 [ 開始],然後按兩下 [ 搜尋]。
    2. 在 [搜尋結果] 窗格中,單擊 [搜尋隨附] 底下的 [所有檔案和資料夾]。
    3. 在 [ 檔名的所有或部分] 方塊中,從適當的檔案信息數據表輸入檔名,然後按兩下 [ 搜尋]。
    4. 在檔案清單中,以滑鼠右鍵按兩下適當檔案資訊資料表中的檔名,然後按兩下 [ 屬性]。

    注意 根據安裝的作業系統或程式版本而定,可能不會安裝檔案資訊表中所列的一些檔案。

    1. 在 [ 版本] 索引標籤上,藉由將它與適當檔案資訊表中記載的版本進行比較,來判斷計算機上安裝的檔案版本。

    注意 檔案版本以外的屬性可能會在安裝期間變更。 比較其他檔案屬性與檔案信息數據表中的資訊不是驗證更新安裝的支援方法。 此外,在某些情況下,可能會在安裝期間重新命名檔案。 如果檔案或版本資訊不存在,請使用其他其中一個可用方法來驗證更新安裝。

  • 登錄機碼驗證

您也可以檢閱下列登入機碼,確認此安全性更新已安裝的檔案:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3e7bb08a-a7a3-4692-8eac-ac5e7895755b}

注意 確認 IsInstalled DWORD 值與數據值為 1 的數據會出現在登錄機碼中。

  • 程式版本驗證

確認Q834707列在 [關於 Internet Explorer] 對話方塊的 [更新版本] 字段中

適用於 Windows 2000 的 Internet Explorer 5.01 (所有版本)

先決條件
若要安裝此更新的 Internet Explorer 5.01 版本,您必須執行下列其中一項:

  • Windows 2000 SP3 上的 Internet Explorer 5.01 Service Pack 3 (版本 5.00.3502.1000)
  • Windows 2000 SP4 上的 Internet Explorer 5.01 Service Pack 4 (版本 5.00.3700.1000)

注意: 不再支援本文未列出的 Windows 版本和 Internet Explorer 版本。 雖然您可以在這些版本的 Windows 和 Internet Explorer 上安裝本文中所述的一些更新套件,但 Microsoft 尚未測試這些版本,以評估這些版本是否受到這些弱點的影響,或確認此公告描述的更新可解決這些弱點。 Microsoft 建議您升級至支援的 Windows 和 Internet Explorer 版本,然後安裝適當的更新。

如需 Windows 元件支援生命週期的詳細資訊,請參閱下列 Microsoft 支援服務 生命周期網站

安裝資訊

此安全性更新支援下列安裝參數:

/help 顯示命令行選項

設定模式

/quiet Quiet 模式 (沒有使用者互動或顯示)

/被動 自動模式(僅限進度列)

/uninstall 卸載套件

重新啟動選項

/norestart 安裝完成時請勿重新啟動

/forcerestart 安裝後重新啟動

特殊選項

/l 列出已安裝的 Windows Hotfix 或更新套件

/o 覆寫 OEM 檔案而不提示

/n 卸載所需的備份檔

/f 強制其他程式在電腦關閉時關閉

/extract 擷取 檔案而不啟動設定

注意 您可以將這些參數合併成一個命令。 為了回溯相容性,安全性更新也支援舊版安裝程式公用程式所使用的安裝參數。 如需所支援安裝參數的詳細資訊,請參閱 Microsoft 知識庫文章有關支援的安裝參數,請參閱 Microsoft 知識庫文章262841

部署資訊

若要在沒有任何使用者介入的情況下安裝安全性更新,請在 Windows 2000 SP3 的命令提示字元中使用下列命令:

IE5.01sp3-kb834707-Windows2000sp3-x86-enu /passive /quiet

若要安裝安全性更新而不強制系統重新啟動,請在 Windows 2000 SP3 的命令提示字元中使用下列命令:

IE5.01sp3-kb834707-Windows2000sp3-x86-enu /norestart

如需如何使用軟體更新服務部署此安全性更新的資訊,請瀏覽 軟體更新服務網站

重新啟動需求

安裝此安全性更新之後,您必須重新啟動系統。 在電腦重新啟動任何版本的此更新之後,您不需要使用系統管理員登入。

拿掉資訊

若要移除此更新,請使用 控制台 中的 [新增或移除程式] 工具。 參考此更新的專案會將其列為 Windows 更新,而不是 Internet Explorer 更新。 這是從過去的 Internet Explorer 累積安全性 更新 變更。

系統管理員也可以使用 Spuninst.exe 公用程式來移除此安全性更新。 Spuninst.exe公用程式位於 Windows 20 的 %Windir%\$NTUninstallKB 834707-ie501sp4-20040929.111451$\Spuninst 資料夾中00 SP4 和 %Windir%\$NTUninstallKB 834707-ie501sp3-20040929.121357$\Spuninst for Windows 2000 SP3 。 Spuninst.exe公用程式支援下列設定參數:

/?:顯示安裝參數清單。

/u:使用自動模式。

/f:強制其他程式在計算機關機時結束。

/z:安裝完成時請勿重新啟動。

/q:使用無訊息模式(沒有用戶互動)。

檔案資訊

此更新的英文版本具有下表所列的檔案屬性(或更新版本)。 這些檔案的日期和時間會以國際標準時間 (UTC) 列出。 當您檢視檔案資訊時,它會轉換成當地時間。 若要尋找 UTC 與當地時間之間的差異,請使用 控制台 中 [日期和時間] 工具中的 [時區] 索引標籤。

Internet Explorer 5.01 Service Pack 4:

Date Time Version Size File name Platform
----------------------------------------------------------------------
21-Aug-2004 06:11 5.0.3820.2000 792,848 Browseui.dll X86
26-Aug-2004 19:03 5.0.3820.2600 74,000 Inseng.dll X86
29-Sep-2004 08:06 5.0.3821.2800 2,290,960 Mshtml.dll X86
24-Sep-2004 02:08 5.0.3821.2300 48,912 Pngfilt.dll X86
27-Aug-2004 22:05 5.0.3820.2700 1,100,048 Shdocvw.dll X86
20-Aug-2004 22:49 5.0.3900.6969 282,384 Shlwapi.dll X86
05-Mar-2002 04:53 5.50.4915.500 84,240 Url.dll X86
24-Sep-2004 00:57 5.0.3821.2300 412,944 Urlmon.dll X86
03-Sep-2004 00:16 5.0.3821.200 450,832 Wininet.dll X86

Internet Explorer 5.01 Service Pack 3:

Date Time Version Size File name Platform
----------------------------------------------------------------------
21-Aug-2004 09:05 5.0.3533.2000 792,848 Browseui.dll X86
26-Aug-2004 18:33 5.0.3533.2600 74,000 Inseng.dll X86
29-Sep-2004 08:18 5.0.3534.2800 2,290,960 Mshtml.dll X86
24-Sep-2004 02:08 5.0.3534.2300 48,912 Pngfilt.dll X86
27-Aug-2004 22:08 5.0.3533.2700 1,100,048 Shdocvw.dll X86
20-Aug-2004 22:49 5.0.3900.6969 282,384 Shlwapi.dll X86
05-Mar-2002 05:53 5.50.4915.500 84,240 Url.dll X86
24-Sep-2004 00:50 5.0.3534.2300 412,944 Urlmon.dll X86
03-Sep-2004 00:26 5.0.3534.200 450,832 Wininet.dll X86

驗證更新安裝

  • Microsoft Baseline Security Analyzer

    若要確認安全性更新已安裝在受影響的系統上,您可以使用 Microsoft Baseline Security Analyzer (MBSA) 工具。 此工具可讓系統管理員掃描本機和遠端系統是否有遺漏的安全性更新,以及常見的安全性設定錯誤。 如需 MBSA 的詳細資訊,請流覽 Microsoft 基準安全性分析器網站

  • 檔案版本驗證

    注意 因為 Microsoft Windows 有數個版本,因此您的計算機上下列步驟可能不同。 如果是,請參閱您的產品檔,以完成這些步驟。

    1. 按兩下 [ 開始],然後按兩下 [ 搜尋]。
    2. 在 [搜尋結果] 窗格中,單擊 [搜尋隨附] 底下的 [所有檔案和資料夾]。
    3. 在 [ 檔名的所有或部分] 方塊中,從適當的檔案信息數據表輸入檔名,然後按兩下 [ 搜尋]。
    4. 在檔案清單中,以滑鼠右鍵按兩下適當檔案資訊資料表中的檔名,然後按兩下 [ 屬性]。

    注意 根據安裝的作業系統或程式版本而定,可能不會安裝檔案資訊表中所列的一些檔案。

    1. 在 [ 版本] 索引標籤上,藉由將它與適當檔案資訊表中記載的版本進行比較,來判斷計算機上安裝的檔案版本。

    注意 檔案版本以外的屬性可能會在安裝期間變更。 比較其他檔案屬性與檔案信息數據表中的資訊不是驗證更新安裝的支援方法。 此外,在某些情況下,可能會在安裝期間重新命名檔案。 如果檔案或版本資訊不存在,請使用其他其中一個可用方法來驗證更新安裝。

  • 登錄機碼驗證

    您也可以確認 已安裝 DWORD 值且資料值為 1 的已安裝 DWORD 值存在於下列登入機碼中,以確認此安全性更新已安裝的檔案。

    Windows 2000 SP3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB834707-ie501sp3-20040929.121357

    Windows 2000 SP4:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB834707-ie501sp4-20040929.111451

其他資訊

確認

Microsoft 感謝您 與我們合作,協助保護客戶:

  • 畢馬威英國的格雷格·鐘斯和新一代安全軟體有限公司的彼得·溫特-史密斯報告安裝引擎控制弱點(CAN-2004-0216)。
  • 來自 ACROS Security 的 Mitja Kolsek 報告 SSL 快取弱點 (CAN-2004-0845)。
  • 新一代安全性軟體有限公司John Heasman 報告此安全性更新中已設定 kill-bit 的 Hrtbeat.ocx 中的問題。
  • 劉迪宇 報告位址列詐騙雙位元組位元集地區設定弱點 (CAN-2004-0844) 和外掛程式導覽網址列詐騙弱點 (CAN-2004-0843)。

取得其他安全性 更新:

其他安全性問題的 更新 可從下列位置取得:

支援:

  • 美國和加拿大的客戶可以在 1-866-PCSAFETY 收到 Microsoft 產品支援服務的技術支援。 與安全性更新相關聯的支援呼叫不收取任何費用。
  • 國際客戶可以從其當地 Microsoft 子公司獲得支援。 與安全性更新相關聯的支援不收取任何費用。 如需如何連絡 Microsoft 以取得支持問題的詳細資訊,請造訪 國際支持網站

安全性資源:

軟體更新服務:

藉由使用 Microsoft 軟體更新服務 (SUS),系統管理員可以快速地可靠地將最新的重大更新和安全性更新部署到 Windows 2000 和 Windows Server 2003 伺服器,以及執行 Windows 2000 專業版或 Windows XP Professional 的桌面系統。

如需如何使用軟體更新服務部署此安全性更新的詳細資訊,請瀏覽 軟體更新服務網站

系統管理系統伺服器:

Microsoft Systems Management Server (SMS) 提供高度可設定的企業解決方案來管理更新。 藉由使用SMS,系統管理員可以識別需要安全性更新的Windows系統,並在整個企業中執行這些更新的受控部署,而對終端使用者的中斷程度最低。 如需系統管理員如何使用SMS 2003部署安全性更新的詳細資訊,請參閱 SMS 2003安全性修補程式管理網站。 SMS 2.0 使用者也可以使用軟體 更新 Service Feature Pack 來協助部署安全性更新。 如需 SMS 的相關信息,請流覽 SMS 網站

注意 SMS 使用 Microsoft 基準安全性分析器和 Microsoft Office 偵測工具,為安全性布告欄更新偵測和部署提供廣泛的支援。 這些工具可能不會偵測到某些軟體更新。 管理員 istrators 可以使用 SMS 的清查功能,在這些情況下以特定系統的更新為目標。 如需此程式的詳細資訊,請參閱下列 網站。 某些安全性更新需要系統重新啟動之後的系統管理許可權。 管理員 istrators 可以使用提高許可權部署工具(可在 SMS 2003 管理員 istration Feature Pack 和 SMS 2.0 管理員 istration Feature Pack 中取得)來安裝這些更新。

免責聲明

Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。

變更:

  • V1.0 (2004 年 10 月 12 日): 公告發佈

    V1.1 (2004 年 11 月 9 日):已將 ActiveX 控件名稱從 “Heartbeat.ocx” 更新為 “Hrtbeat.ocx”,並將 GUID 資訊新增至 [安全性更新資訊] 區段,並新增通知劉迪宇,負責處理此更新所解決的兩個弱點。

建置於 2014-04-18T13:49:36Z-07:00