此安全更新可解决 Internet Explorer 中 13 个私下报告的漏洞。 如果用户使用 Internet Explorer 查看特制网页,则最严重的漏洞可能会允许远程代码执行。 成功利用这些漏洞的攻击者可能会获得与当前用户相同的用户权限。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。
此安全更新针对 Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9 和 Internet Explorer 10 在 Windows 客户端上被评为“严重”,Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9 和 Windows 服务器上的 Internet Explorer 10 的审查。 有关详细信息,请参阅本节中的小节“ 受影响的和非受影响的软件”。
安全更新通过修改 Internet Explorer 处理内存中的对象的方式来解决漏洞。 有关漏洞的详细信息,请参阅下一部分 “漏洞信息”下特定漏洞条目的常见问题解答(常见问题解答)子部分。
服务器核心安装受到本公告中解决的漏洞的影响如何?
此更新解决的漏洞不会影响使用 Server Core 安装选项安装的 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 支持的版本。 有关此安装选项的详细信息,请参阅 TechNet 文章:管理服务器核心安装:概述、服务服务器核心安装和服务器核心和完整服务器集成概述。
此 Internet Explorer 的累积安全更新(MS13-009)是否解决了带外安全公告 MS13-008 中所述的漏洞?
是的。 此 Internet Explorer 累积安全更新解决了 MS13-008 中所述的漏洞。 有关以前更新被此更新替换的详细信息,请参阅“受影响和非受影响的软件”部分中替换的更新。
适用于 Windows 7 的Internet Explorer 10版本预览版是否受此公告中解决的漏洞的影响?
是的。 KB2792100更新适用于适用于 Windows 7 的 Internet Explorer 10 版本预览版,适用于 32 位系统 Service Pack 1 和基于 x64 的系统 Service Pack 1 的 Windows 7。 建议使用适用于 Windows 7 的 Internet Explorer 10 版本预览版(适用于 32 位系统 Service Pack 1)和基于 x64 的系统 Service Pack 1 的 Windows 7 版本预览版的客户将更新应用到其系统。 这些更新可在Windows 更新上使用。
Internet Explorer pasteHTML 在免费漏洞后使用 - CVE-2013-0024
Internet Explorer SLayoutRun 在释放漏洞后使用 - CVE-2013-0025
Internet Explorer InsertElement 在释放漏洞后使用 - CVE-2013-0026
Internet Explorer CPasteCommand 在免费漏洞后使用 - CVE-2013-0027
Internet Explorer CObjectElement 在释放漏洞后使用 - CVE-2013-0028
释放漏洞后使用 Internet Explorer CHTML - CVE-2013-0029
聚合严重性分级
Internet Explorer 6
适用于 Windows XP Service Pack 3 的 Internet Explorer 6
不适用
不适用
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于 Windows XP Professional x64 Edition Service Pack 2 的 Internet Explorer 6
不适用
不适用
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于 Windows Server 2003 Service Pack 2 的 Internet Explorer 6
不适用
不适用
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
适用于 Windows Server 2003 x64 Edition Service Pack 2 的 Internet Explorer 6
不适用
不适用
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
适用于 Windows Server 2003 的 Internet Explorer 6,SP2 适用于基于 Itanium 的系统
不适用
不适用
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
Internet Explorer 7
适用于 Windows XP Service Pack 3 的 Internet Explorer 7
不适用
不适用
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于 Windows XP Professional x64 Edition Service Pack 2 的 Internet Explorer 7
不适用
不适用
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于 Windows Server 2003 Service Pack 2 的 Internet Explorer 7
不适用
不适用
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
适用于 Windows Server 2003 x64 Edition Service Pack 2 的 Internet Explorer 7
不适用
不适用
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
适用于 Windows Server 2003 的 Internet Explorer 7,SP2 适用于基于 Itanium 的系统
不适用
不适用
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
Windows Vista Service Pack 2 中的 Internet Explorer 7
不适用
不适用
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
Windows Vista x64 Edition Service Pack 2 中的 Internet Explorer 7
不适用
不适用
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于 32 位系统 Service Pack 2 的 Windows Server 2008 中的 Internet Explorer 7
不适用
不适用
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
Windows Server 2008 中基于 x64 的系统 Service Pack 2 的 Internet Explorer 7
不适用
不适用
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
基于 Itanium 的系统 Service Pack 2 的 Internet Explorer 7 Windows Server 2008
不适用
不适用
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
Internet Explorer 8
适用于 Windows XP Service Pack 3 的 Internet Explorer 8
关键 远程代码执行
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于 Windows XP Professional x64 Edition Service Pack 2 的 Internet Explorer 8
关键 远程代码执行
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于 Windows Server 2003 Service Pack 2 的 Internet Explorer 8
中等 远程代码执行
中等 远程代码执行
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
适用于 Windows Server 2003 x64 Edition Service Pack 2 的 Internet Explorer 8
中等 远程代码执行
中等 远程代码执行
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
Windows Vista Service Pack 2 中的 Internet Explorer 8
关键 远程代码执行
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
Windows Vista x64 Edition Service Pack 2 中的 Internet Explorer 8
关键 远程代码执行
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于 32 位系统 Service Pack 2 的 Windows Server 2008 中的 Internet Explorer 8
中等 远程代码执行
中等 远程代码执行
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
Windows Server 2008 中基于 x64 的系统 Service Pack 2 的 Internet Explorer 8
中等 远程代码执行
中等 远程代码执行
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
适用于 32 位系统的 Windows 7 中的 Internet Explorer 8
关键 远程代码执行
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于 32 位系统 Service Pack 1 的 Windows 7 中的 Internet Explorer 8
关键 远程代码执行
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
基于 x64 的系统版 Windows 7 中的 Internet Explorer 8
关键 远程代码执行
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
基于 x64 的系统 Service Pack 1 的 Windows 7 中的 Internet Explorer 8
关键 远程代码执行
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
Windows Server 2008 R2 中基于 x64 的系统版 Internet Explorer 8
中等 远程代码执行
中等 远程代码执行
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
Windows Server 2008 R2 中基于 x64 的系统 Service Pack 1 的 Internet Explorer 8
中等 远程代码执行
中等 远程代码执行
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
Windows Server 2008 R2 中基于 Itanium 的系统的 Internet Explorer 8
中等 远程代码执行
中等 远程代码执行
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 中的 Internet Explorer 8
中等 远程代码执行
中等 远程代码执行
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
Internet Explorer 9
适用于 Windows Vista Service Pack 2 的 Internet Explorer 9
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于 Windows Vista x64 版本 Service Pack 2 的 Internet Explorer 9
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于 Windows Server 2008 的 Internet Explorer 9(适用于 32 位系统 Service Pack 2)
中等 远程代码执行
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
基于 x64 的系统 Service Pack 2 的适用于 Windows Server 2008 的 Internet Explorer 9
中等 远程代码执行
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
适用于 Windows 7 的 Internet Explorer 9(适用于 32 位系统)
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于 Windows 7 的 Internet Explorer 9(适用于 32 位系统 Service Pack 1)
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于基于 x64 系统的 Windows 7 的 Internet Explorer 9
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于基于 x64 的系统 Service Pack 1 的 Windows 7 的 Internet Explorer 9
关键 远程代码执行
不适用
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键 远程代码执行
关键
适用于基于 x64 系统的 Windows Server 2008 R2 的 Internet Explorer 9
中等 远程代码执行
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
适用于基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 的 Internet Explorer 9
中等 远程代码执行
不适用
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等 远程代码执行
中等
Internet Explorer 10
适用于 32 位系统的 Windows 8 中的 Internet Explorer 10
不适用
不适用
不适用
关键 远程代码执行
不适用
不适用
关键
适用于 64 位系统的 Windows 8 中的 Internet Explorer 10
不适用
不适用
不适用
关键 远程代码执行
不适用
不适用
关键
Windows Server 2012 中的 Internet Explorer 10
不适用
不适用
不适用
中等 远程代码执行
不适用
不适用
中等
Windows RT 中的 Internet Explorer 10
不适用
不适用
不适用
关键 远程代码执行
不适用
不适用
关键
Shift JIS 字符编码漏洞 - CVE-2013-0015
Internet Explorer 中存在信息泄露漏洞,攻击者可以访问另一个域或 Internet Explorer 区域中的信息。 攻击者可以通过构建特殊设计的网页来利用漏洞,如果用户查看网页,该网页可能会允许信息泄露。 成功利用此漏洞的攻击者可以查看来自其他域或 Internet Explorer 区域的内容。
在基于 Web 的攻击方案中,攻击者可以托管一个专门制作的网站,该网站旨在通过 Internet Explorer 利用这些漏洞,然后说服用户查看网站。 攻击者还可以利用遭到入侵的网站和接受或托管用户提供的内容或广告的网站。 这些网站可能包含可利用此漏洞的特制内容。 但是,在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。 相反,攻击者必须说服用户采取行动,通常是让他们单击电子邮件或即时信使消息中的链接,将用户带到攻击者的网站,或通过让他们打开通过电子邮件发送的附件。
默认情况下,所有受支持的 Microsoft Outlook 版本、Microsoft Outlook Express 和 Windows 邮件都会在受限站点区域中打开 HTML 电子邮件。 禁用脚本和 ActiveX 控件的受限站点区域有助于降低攻击者能够使用这些漏洞执行恶意代码的风险。 如果用户单击电子邮件中的链接,用户仍可能容易受到通过基于 Web 的攻击方案利用此漏洞的攻击。
默认情况下,Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 和 Windows Server 2012 上的 Internet Explorer 以称为 增强安全配置的限制模式运行。 此模式可缓解此漏洞。 有关 Internet Explorer 增强的安全配置的详细信息,请参阅此漏洞的常见问题解答部分。
解决方法的影响。 阻止 ActiveX 控件和活动脚本会产生副作用。 Internet 或 Intranet 上的许多网站都使用 ActiveX 或 Active Scripting 来提供其他功能。 例如,在线电子商务网站或银行网站可能使用 ActiveX 控件提供菜单、订购表单,甚至帐户账单。 阻止 ActiveX 控件或活动脚本是影响所有 Internet 和 Intranet 站点的全局设置。 如果不想阻止此类网站的 ActiveX 控件或活动脚本,请使用“将信任的站点添加到 Internet Explorer 受信任站点区域”中所述的步骤。
将信任的站点添加到 Internet Explorer 受信任的站点区域
将 Internet Explorer 设置为阻止 Internet 区域和本地 Intranet 区域中的 ActiveX 控件和活动脚本后,可以将信任的站点添加到 Internet Explorer 受信任的站点区域。 这将使你能够像你今天所做的那样继续使用受信任的网站,同时帮助保护自己免受不受信任的网站的这种攻击。 建议仅将信任的站点添加到受信任的站点区域。
为此,请执行下列步骤:
在 Internet Explorer 中,单击“工具”,单击“Internet 选项”,然后单击“安全”选项卡。
将 Internet Explorer 配置为在运行活动脚本之前进行提示,或者在 Internet 和本地 Intranet 安全区域中禁用活动脚本
通过在运行活动脚本之前将设置更改为提示,或者在 Internet 和本地 Intranet 安全区域中禁用活动脚本,帮助防止利用此漏洞。 为此,请执行下列步骤:
在 Internet Explorer 中,单击“工具”菜单上的“Internet 选项”。
单击“安全”选项卡。
单击“Internet”,然后单击“自定义级别”。
在“设置”部分的“活动脚本”下,单击“提示”或“禁用”,然后单击“确定”。
单击“本地 Intranet”,然后单击“自定义级别”。
在“设置”部分的“活动脚本”下,单击“提示”或“禁用”,然后单击“确定”。
单击“ 确定 ”两次以返回到 Internet Explorer。
请注意 ,在 Internet 和本地 Intranet 安全区域中禁用活动脚本可能会导致某些网站无法正常工作。 如果在更改此设置后难以使用网站,并且确信该网站是安全的,则可以将该网站添加到受信任的网站列表中。 这将允许网站正常工作。
解决方法的影响。 在运行活动脚本之前提示有副作用。 许多位于 Internet 或 Intranet 上的网站都使用活动脚本来提供其他功能。 例如,在线电子商务网站或银行网站可能使用活动脚本来提供菜单、订购表单甚至帐户帐单。 运行活动脚本之前提示是影响所有 Internet 和 Intranet 站点的全局设置。 启用此解决方法时,会经常提示你。 对于每个提示,如果你觉得你信任访问的网站,请单击“是”以运行活动脚本。 如果不想提示输入所有这些站点,请使用“将信任的站点添加到 Internet Explorer 受信任站点区域”中所述的步骤。
将信任的站点添加到 Internet Explorer 受信任的站点区域
将 Internet Explorer 设置为在 Internet 区域和本地 Intranet 区域中运行 ActiveX 控件和活动脚本之前需要提示后,可以将信任的站点添加到 Internet Explorer 受信任的站点区域。 这样,就可以像你今天一样继续使用受信任的网站,同时帮助保护你免受不受信任的网站的此攻击。 建议仅将信任的站点添加到受信任的站点区域。
为此,请执行下列步骤:
在 Internet Explorer 中,单击“工具”,单击“Internet 选项”,然后单击“安全”选项卡。
导致漏洞的原因是什么?
Internet Explorer 无法正确处理Shift_JIS自动选择的编码,这允许攻击者访问来自不同域的内容。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可以查看来自其他域或 Internet Explorer 区域的内容。
攻击者如何利用漏洞?
攻击者可以托管一个专门制作的网站,该网站旨在通过 Internet Explorer 利用此漏洞,然后说服用户查看该网站。 攻击者还可以利用遭到入侵的网站和接受或托管用户提供的内容或广告的网站。 这些网站可能包含可利用此漏洞的特制内容。 但是,在所有情况下,攻击者都无法强制用户访问这些网站。 相反,攻击者必须说服用户访问该网站,通常是让他们单击电子邮件或即时信使消息中的链接,将用户带到攻击者的网站。
哪些系统主要面临漏洞的风险?
Internet Explorer 经常使用的系统(例如工作站或终端服务器)受到此漏洞的最大风险。
我运行的是适用于 Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 的 Internet Explorer。 这是否缓解了此漏洞?
是的。 默认情况下,Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 和 Windows Server 2012 上的 Internet Explorer 以称为 增强安全配置的限制模式运行。 增强的安全配置是 Internet Explorer 中的一组预配置设置,可降低用户或管理员在服务器上下载和运行特制 Web 内容的可能性。 对于尚未添加到 Internet Explorer 受信任站点区域的网站,这是一个缓解因素。
在基于 Web 的攻击方案中,攻击者可以托管一个专门制作的网站,该网站旨在通过 Internet Explorer 利用这些漏洞,然后说服用户查看网站。 攻击者还可以利用遭到入侵的网站和接受或托管用户提供的内容或广告的网站。 这些网站可能包含可利用此漏洞的特制内容。 但是,在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。 相反,攻击者必须说服用户采取行动,通常是让他们单击电子邮件或即时信使消息中的链接,将用户带到攻击者的网站,或通过让他们打开通过电子邮件发送的附件。
默认情况下,所有受支持的 Microsoft Outlook 版本、Microsoft Outlook Express 和 Windows 邮件都会在受限站点区域中打开 HTML 电子邮件。 禁用脚本和 ActiveX 控件的受限站点区域有助于降低攻击者能够使用这些漏洞执行恶意代码的风险。 如果用户单击电子邮件中的链接,用户仍可能容易受到通过基于 Web 的攻击方案利用此漏洞的攻击。
默认情况下,Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 和 Windows Server 2012 上的 Internet Explorer 以称为 增强安全配置的限制模式运行。 此模式可缓解这些漏洞。 有关 Internet Explorer 增强的安全配置的详细信息,请参阅此漏洞的常见问题解答部分。
解决方法的影响。 阻止 ActiveX 控件和活动脚本会产生副作用。 Internet 或 Intranet 上的许多网站都使用 ActiveX 或 Active Scripting 来提供其他功能。 例如,在线电子商务网站或银行网站可能使用 ActiveX 控件提供菜单、订购表单,甚至帐户账单。 阻止 ActiveX 控件或活动脚本是影响所有 Internet 和 Intranet 站点的全局设置。 如果不想阻止此类网站的 ActiveX 控件或活动脚本,请使用“将信任的站点添加到 Internet Explorer 受信任站点区域”中所述的步骤。
将信任的站点添加到 Internet Explorer 受信任的站点区域
将 Internet Explorer 设置为阻止 Internet 区域和本地 Intranet 区域中的 ActiveX 控件和活动脚本后,可以将信任的站点添加到 Internet Explorer 受信任的站点区域。 这将使你能够像你今天所做的那样继续使用受信任的网站,同时帮助保护自己免受不受信任的网站的这种攻击。 建议仅将信任的站点添加到受信任的站点区域。
为此,请执行下列步骤:
在 Internet Explorer 中,单击“工具”,单击“Internet 选项”,然后单击“安全”选项卡。
将 Internet Explorer 配置为在运行活动脚本之前进行提示,或者在 Internet 和本地 Intranet 安全区域中禁用活动脚本
通过在运行活动脚本之前将设置更改为提示,或者在 Internet 和本地 Intranet 安全区域中禁用活动脚本,帮助防止利用此漏洞。 为此,请执行下列步骤:
在 Internet Explorer 中,单击“工具”菜单上的“Internet 选项”。
单击“安全”选项卡。
单击“Internet”,然后单击“自定义级别”。
在“设置”部分的“活动脚本”下,单击“提示”或“禁用”,然后单击“确定”。
单击“本地 Intranet”,然后单击“自定义级别”。
在“设置”部分的“活动脚本”下,单击“提示”或“禁用”,然后单击“确定”。
单击“ 确定 ”两次以返回到 Internet Explorer。
请注意 ,在 Internet 和本地 Intranet 安全区域中禁用活动脚本可能会导致某些网站无法正常工作。 如果在更改此设置后难以使用网站,并且确信该网站是安全的,则可以将该网站添加到受信任的网站列表中。 这将允许网站正常工作。
解决方法的影响。 在运行活动脚本之前提示有副作用。 许多位于 Internet 或 Intranet 上的网站都使用活动脚本来提供其他功能。 例如,在线电子商务网站或银行网站可能使用活动脚本来提供菜单、订购表单甚至帐户帐单。 运行活动脚本之前提示是影响所有 Internet 和 Intranet 站点的全局设置。 启用此解决方法时,会经常提示你。 对于每个提示,如果你觉得你信任访问的网站,请单击“是”以运行活动脚本。 如果不想提示输入所有这些站点,请使用“将信任的站点添加到 Internet Explorer 受信任站点区域”中所述的步骤。
将信任的站点添加到 Internet Explorer 受信任的站点区域
将 Internet Explorer 设置为在 Internet 区域和本地 Intranet 区域中运行 ActiveX 控件和活动脚本之前需要提示后,可以将信任的站点添加到 Internet Explorer 受信任的站点区域。 这样,就可以像你今天一样继续使用受信任的网站,同时帮助保护你免受不受信任的网站的此攻击。 建议仅将信任的站点添加到受信任的站点区域。
为此,请执行下列步骤:
在 Internet Explorer 中,单击“工具”,单击“Internet 选项”,然后单击“安全”选项卡。
攻击者如何利用漏洞?
攻击者可以托管一个专门制作的网站,该网站旨在通过 Internet Explorer 利用这些漏洞,然后说服用户查看该网站。 攻击者还可以利用遭到入侵的网站和接受或托管用户提供的内容或广告的网站。 这些网站可能包含可利用此漏洞的特制内容。 但是,在所有情况下,攻击者都无法强制用户查看攻击者控制的内容。 相反,攻击者必须说服用户采取行动,通常是让他们单击电子邮件或即时信使消息中的链接,将用户带到攻击者的网站,或通过让他们打开通过电子邮件发送的附件。
哪些系统主要面临漏洞的风险?
Internet Explorer 经常使用的系统(例如工作站或终端服务器)受到这些漏洞的最大风险。
我运行的是适用于 Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 的 Internet Explorer。 这是否缓解这些漏洞?
是的。 默认情况下,Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 和 Windows Server 2012 上的 Internet Explorer 以称为 增强安全配置的限制模式运行。 增强的安全配置是 Internet Explorer 中的一组预配置设置,可降低用户或管理员在服务器上下载和运行特制 Web 内容的可能性。 对于尚未添加到 Internet Explorer 受信任站点区域的网站,这是一个缓解因素。
更新的作用是什么?
更新通过修改 Internet Explorer 处理内存中的对象的方式来解决漏洞。
Windows XP Professional x64 Edition Service Pack 2
是
Windows Server 2003 Service Pack 2
是
Windows Server 2003 x64 Edition Service Pack 2
是
Windows Server 2003 SP2 for Itanium 基于系统的 SP2
是
Windows Vista Service Pack 2
是
Windows Vista x64 版本 Service Pack 2
是
Windows Server 2008(用于 32 位系统)Service Pack 2
是
Windows Server 2008(用于基于 x64 的系统)Service Pack 2
是
基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008
是
适用于 32 位系统的 Windows 7 和适用于 32 位系统的 Windows 7 Service Pack 1
是
基于 x64 的系统的 Windows 7 和基于 x64 的系统 Service Pack 1 的 Windows 7
是
基于 x64 的系统的 Windows Server 2008 R2 和基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2
是
适用于基于 Itanium 的系统的 Windows Server 2008 R2 和适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2
是
适用于 32 位系统的 Windows 8
否
适用于 64 位系统的 Windows 8
否
Windows Server 2012
否
Windows RT
否
注意 :对于使用最新版 MBSA、Microsoft 更新和 Windows Server 更新服务不支持的旧版软件的客户,请参阅 Microsoft基线安全分析器 并参考旧版产品支持部分,了解如何使用旧版工具创建全面的安全更新检测。
Windows Server Update Services
Windows Server Update Services (WSUS)使信息技术管理员能够将最新的Microsoft产品更新部署到运行 Windows 操作系统的计算机。 有关如何使用 Windows Server Update Services 部署安全更新的详细信息,请参阅 TechNet 文章 Windows Server Update Services。
系统管理服务器
下表提供了此安全更新的短信检测和部署摘要。
软件
使用 ITMU 的 SMS 2003
System Center Configuration Manager (所有受支持的版本)
Windows XP Service Pack 3
是
是
Windows XP Professional x64 Edition Service Pack 2
是
是
Windows Server 2003 Service Pack 2
是
是
Windows Server 2003 x64 Edition Service Pack 2
是
是
Windows Server 2003 SP2 for Itanium 基于系统的 SP2
是
是
Windows Vista Service Pack 2
是
是
Windows Vista x64 版本 Service Pack 2
是
是
Windows Server 2008(用于 32 位系统)Service Pack 2
是
是
Windows Server 2008(用于基于 x64 的系统)Service Pack 2
是
是
基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008
是
是
适用于 32 位系统的 Windows 7 和适用于 32 位系统的 Windows 7 Service Pack 1
是
是
基于 x64 的系统的 Windows 7 和基于 x64 的系统 Service Pack 1 的 Windows 7
是
是
基于 x64 的系统的 Windows Server 2008 R2 和基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2
是
是
适用于基于 Itanium 的系统的 Windows Server 2008 R2 和适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2
Internet Explorer 6 适用于所有受支持的 32 位版本、基于 x64 的版本和基于 Itanium 的 Windows Server 2003 版本:\ 在 控制面板 中使用添加或删除程序项或位于 %Windir%$NTUninstallKB 2792100$\Spuninst 文件夹中的“使用Spuninst.exe实用工具”中的Spuninst.exe实用工具
Internet Explorer 7 适用于所有受支持的 32 位版本、基于 x64 的版本和基于 Itanium 的版本(Windows Server 2003:\ 在 控制面板 中使用添加或删除程序项或位于 %Windir%\ie7updates\KB2792100-IE7\spuninst 文件夹中的 Spuninst.exe 实用工具)
适用于所有受支持的 32 位版本和基于 x64 版本的 Windows Server 2003:\ 在 控制面板 中使用添加或删除程序项或位于 %Windir%\ie8updates\KB2792100-IE8\spuninst 文件夹中的 Spuninst.exe 实用工具的 Internet Explorer 8
适用于所有受支持的 32 位版本、基于 x64 的版本和基于 Itanium 的 Windows Server 2003:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB2792100\Filelist 的 Internet Explorer 6
适用于所有受支持的 32 位版本、基于 x64 的版本和基于 Itanium 的 Windows Server 2003:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP0\KB2792100-IE7\Filelist 的 Internet Explorer 7
所有受支持的 32 位版本和基于 x64 版本的 Windows Server 2003:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP0\KB2792100-IE8\Filelist 的 Internet Explorer 8
请注意 ,Windows Server 2003 x64 版本的受支持版本的更新也适用于受支持的 Windows XP Professional x64 版本。
Masato Kinugawa 报告 Shift JIS 字符编码漏洞(CVE-2013-0015)
Omair 与 HP 的零日计划合作,报告 Internet Explorer SetCapture 在免费漏洞后使用 (CVE-2013-0018)
SkyLined 与 HP 的零日计划合作,报告 Internet Explorer COmWindowProxy 在免费漏洞后使用 (CVE-2013-0019)
Arthur Gerkis,与 Exodus Intelligence 合作,报告 Internet Explorer CMarkup 在免费漏洞后使用 (CVE-2013-0020)
Stephen Fewer of Harmony Security, working with HP'sZero Day Initiative, for reporting the Internet Explorer CMarkup Use After Free Vulnerability (CVE-2013-0020)
腾讯电脑管家报告 Internet Explorer vtable 使用后免费漏洞 (CVE-2013-0021)
Omair 用于报告 Internet Explorer LsGetTrailInfo 在免费漏洞后使用 (CVE-2013-0022)
Arthur Gerkis 与 HP 的零日计划合作,报告 Internet Explorer CDispNode 在免费漏洞后使用 (CVE-2013-0023)
一位匿名研究员,与 惠普的零日计划合作,报告 Internet Explorer pasteHTML 在免费漏洞后使用 (CVE-2013-0024)
Security-Assessment.com 斯科特·贝尔报告 Internet Explorer SLayoutRun 免费漏洞后使用 (CVE-2013-0025)
与 Exodus Intelligence 合作的 Yenteasy Security Research 的 Jose A Vazquez,报告 Internet Explorer InsertElement Use After Free Vulnerability (CVE-2013-0026)
IBM X-Force 的 Mark Yason 报告 Internet Explorer queryCommand Free 漏洞后使用 (CVE-2013-0027)
Security-Assessment.com 斯科特·贝尔报告 Internet Explorer CObjectElement 释放漏洞后使用 (CVE-2013-0028)
Jose A Vazquez of Yenteasy Security Research, working with HP'sZero Day Initiative, for reporting the Internet Explorer CObjectElement Use After Free Vulnerability (CVE-2013-0028)
Stephen Fewer of Harmony Security, working with HP'sZero Day Initiative, for reporting the Internet Explorer CHTML Use After Free Vulnerability (CVE-2013-0029)
As an Information Security Administrator, you plan and implement information security of sensitive data by using Microsoft Purview and related services. You’re responsible for mitigating risks by protecting data inside collaboration environments that are managed by Microsoft 365 from internal and external threats and protecting data used by AI services. You also implement information protection, data loss prevention, retention, insider risk management, and manage information security alerts and activities.