TechNet 首頁 > TechNet 資訊安全 > 資訊安全摘要報告

Microsoft 安全性摘要報告 (953818)

在 Windows 平台上使用 Apple 的 Safari 所帶來的聯合攻擊混合威脅

Published: 2008 年 5 月 30 日 | 更新日期: 2008 年 6 月 20 日

Microsoft 正在調查安裝 Apple 的 Safari for Windows 對於 Windows XP 和 Windows Vista 所有支援版本允許遠端執行程式碼之混合威脅的新公開報告。 Safari 預設不會隨 Windows XP 或 Windows Vista 一起安裝;它一定是獨立安裝或是透過 Apple Software Update 應用程式安裝。 在 Windows 上執行 Safari 的客戶應閱讀這份摘要報告。

Microsoft 目前未發現任何嘗試利用這個混合威脅的攻擊。 在本調查完成後,Microsoft 會採取適當措施以保護客戶。 這可能包括透過 Service Pack、每月的更新程序或週期性更新以外的安全性更新提供解決方案。

Apple 支援服務已發行安全性摘要以解決 Apple 的 Safari 3.1.2 for Windows 的弱點。 請參閱 Apple 安全性摘要報告關於 Safari 3.1.2 for Windows 的安全性內容 (英文) 以取得更多相關資訊。

緩和因素:

對於已將 Safari 下載內容從預設位置變更到本機硬碟的客戶,不受這個混合威脅的影響。

一般資訊

概觀

摘要報告目的: 提供客戶初步的通知,並提供對於受影響 Windows 平台所造成的影響之其他資訊。

摘要報告狀態: 摘要報告發行。

建議: 查閱建議採取的行動並作適當設定。

參照識別

Microsoft 知識庫文件

953818

本次摘要報告討論下列軟體。

相關軟體

Windows XP Service Pack 2

Windows XP Service Pack 3

Windows XP Professional x64 Edition

Windows XP Professional x64 Edition Service Pack 2

Windows Vista

Windows Vista Service Pack 1

Windows Vista x64 Edition

Windows Vista x64 Edition Service Pack 1

適用於 Windows XP Service Pack 2、Windows XP Service Pack 3、Windows XP Professional x64 Edition 和 Windows XP Professional x64 Edition Service Pack 2 的 Internet Explorer 6

適用於 Windows XP Service Pack 2、Windows XP Service Pack 3、Windows XP Professional x64 Edition 和 Windows XP Professional x64 Edition Service Pack 2 的 Internet Explorer 7

適用於 Windows Vista、Windows Vista Service Pack 1、Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1 的 Internet Explorer 7

Top of sectionTop of section

常見問題集

摘要報告的範圍為何?
這份摘要報告說明影響 Windows XP 和 Windows Vista 所有支援版本允許遠端執行程式碼之混合威脅的公開報告。 如需受影響軟體的完整清單,請參閱<概觀>部分中列出的軟體。

這是需要 Microsoft 發行安全性更新的安全性弱點嗎?
Microsoft 會在本調查完成後採取適當的措施以保護客戶。 這可能包括透過安全性更新發行程序提供安全性更新。

造成這個威脅的原因為何?
Safari 中的預設下載位置,加上 Windows 桌上型電腦處理可執行檔的方式,導致檔案可能在未提示使用者的情況下,下載到使用者的電腦上並允許它們執行的混合威脅。 Safari 是獨立安裝或透過 Apple Software Update 應用程式的程式。

攻擊者可能會利用這項功能採取什麼行動?
攻擊者可以引誘使用者造訪蓄意製作的網站,藉此將內容下載到使用者的電腦上,並以登入本機使用者之相同權限在本機上執行該內容。

Top of sectionTop of section

建議動作

限制使用 Safari 作為網頁瀏覽器,直到 Microsoft 和/或 Apple 發佈適當更新。

檢視與本摘要報告相關的 Microsoft 知識庫文件。

因應措施

Microsoft 已經測試過以下的因應措施。 雖然這些因應措施不能徹底解決弱點,但有助於封鎖已知的攻擊行為。 如果因應措施會降低功能,以下小節將會描述功能降低的情況。

將 Safari 的內容下載位置變更到新建立的目錄

1.

建立一個新目錄,例如:c:\SafariDownload。

2.

在 Safari 中,按一下 [編輯],然後指向 [喜好設定]。

3.

在 [將檔案下載至:] 選項中,選取剛被建立的目錄。

Top of sectionTop of section
Top of sectionTop of section

感謝: 

感謝 Aviv Raff 與我們合作並回報此一 Safari 及 Microsoft Internet Explorer 混合威脅

資源:

您可以造訪 Microsoft 技術支援服務: 與我們連絡,填寫表格來提供意見反應。

美國及加拿大地區客戶可聯繫 Microsoft 技術支援服務以取得技術支援。 如需更多可用支援選項的資訊,請參閱 Microsoft 技術支援服務

不同國家的客戶,可以從當地的 Microsoft 分公司取得支援。 如需瞭解如何連絡 Microsoft,瞭解世界各地支援資訊,請造訪世界各地技術支援

Microsoft TechNet 資訊安全網站提供 Microsoft 產品安全性的其他相關資訊。

免責聲明:

本摘要報告中的資訊係以其「現狀」提供,並不提供任何形式之擔保。 Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。 無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。 某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂: 

2008 年 5 月 30 日: 摘要報告發行。

2008 年 6 月 6 日: 修改因應措施中的步驟,並新增<感謝>章節。

2008 年 6 月 20 日: 摘要報告更新以提供相關的 Apple 安全性摘要報告連結。


回到頁首回到頁首