2月IE安全更新細(xì)節(jié)：Win7修復(fù)SSL3.0等問題

Win7之家（ afsion.com.cn）：2月IE安全更新細(xì)節(jié)：Win7修復(fù)SSL3.0等問題

IT之家訊 2月11日消息，在微軟2015年2月的更新中，IE瀏覽器安全更新內(nèi)容雖然都包含在MS15-009（KB3034682）中，但這一積累性更新非�！坝袃�(nèi)涵”。具體情況如下：

MS15-009：此安全更新可解決Internet Explorer中一個(gè)公開披露的漏洞和四十個(gè)秘密報(bào)告的漏洞。最嚴(yán)重的漏洞可能在用戶使用Internet Explorer查看經(jīng)特殊設(shè)計(jì)的網(wǎng)頁(yè)時(shí)允許遠(yuǎn)程執(zhí)行代碼。成功利用這些漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。與擁有管理用戶權(quán)限的客戶相比，帳戶被配置為擁有較少系統(tǒng)用戶權(quán)限的客戶受到的影響更小。

這一更新影響Win7/Win8.1等客戶端和服務(wù)器版本，涉及IE6至IE11瀏覽器。其中客戶端版本為“嚴(yán)重”級(jí)別，服務(wù)器版本為“中等”級(jí)別。

該安全更新通過修改Internet Explorer處理內(nèi)存中對(duì)象的方式、向Internet Explorer添加其他權(quán)限驗(yàn)證、幫助確保Internet Explorer的受影響版本正確實(shí)施ASLR安全功能，以及通過幫助確保在Internet Explorer中正確實(shí)施跨域策略來(lái)解決這些漏洞。

其中還有一個(gè)問題值得關(guān)注，那就是SSL3.0問題的進(jìn)一步解決。微軟計(jì)劃在2015年4月14日徹底關(guān)閉IE11的SSL3.0功能。

KB3038778：此更新已經(jīng)包括在MS15-009中。具體內(nèi)容為廣受關(guān)注的SSL3.0問題，更新后IE11中的SSL3.0回退已經(jīng)被關(guān)閉。也就是說(shuō)IE11將阻止網(wǎng)站連接從TLS1.0以及后續(xù)版本回退至SSL3.0以及早期版本。默認(rèn)情況下，本禁用回退設(shè)置目前僅在IE11保護(hù)模式的網(wǎng)站啟用，而通常用到的“Internet網(wǎng)站”和“受限網(wǎng)站”均默認(rèn)在保護(hù)模式打開。不過該模式可以手動(dòng)擴(kuò)展至全部范圍或者全部關(guān)閉。用戶可在組策略、注冊(cè)表以及“Fix it”工具中進(jìn)行設(shè)置。