微軟2月IE安全更新修復SSL3.0等問題

在微軟2015年2月的更新中，IE瀏覽器安全更新內(nèi)容雖然都包含在MS15-009（KB3034682）中，但這一積累性更新非?！坝袃?nèi)涵”。具體情況如下：

MS15-009：此安全更新可解決Internet Explorer中一個公開披露的漏洞和四十個秘密報告的漏洞。最嚴重的漏洞可能在用戶使用Internet Explorer查看經(jīng)特殊設(shè)計的網(wǎng)頁時允許遠程執(zhí)行代碼。成功利用這些漏洞的攻擊者可以獲得與當前用戶相同的用戶權(quán)限。與擁有管理用戶權(quán)限的客戶相比，帳戶被配置為擁有較少系統(tǒng)用戶權(quán)限的客戶受到的影響更小。

這一更新影響Win7/Win8.1等客戶端和服務(wù)器版本，涉及IE6至IE11瀏覽器。其中客戶端版本為“嚴重”級別，服務(wù)器版本為“中等”級別。

該安全更新通過修改Internet Explorer處理內(nèi)存中對象的方式、向Internet Explorer添加其他權(quán)限驗證、幫助確保Internet Explorer的受影響版本正確實施ASLR安全功能，以及通過幫助確保在Internet Explorer中正確實施跨域策略來解決這些漏洞。

其中還有一個問題值得關(guān)注，那就是SSL3.0問題的進一步解決。微軟計劃在2015年4月14日徹底關(guān)閉IE11的SSL3.0功能。

KB3038778：此更新已經(jīng)包括在MS15-009中。具體內(nèi)容為廣受關(guān)注的SSL3.0問題，更新后IE11中的SSL3.0回退已經(jīng)被關(guān)閉。也就是說IE11將阻止網(wǎng)站連接從TLS1.0以及后續(xù)版本回退至SSL3.0以及早期版本。默認情況下，本禁用回退設(shè)置目前僅在IE11保護模式的網(wǎng)站啟用，而通常用到的“Internet網(wǎng)站”和“受限網(wǎng)站”均默認在保護模式打開。不過該模式可以手動擴展至全部范圍或者全部關(guān)閉。用戶可在組策略、注冊表以及“Fix it”工具中進行設(shè)置。