TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	微軟安全通報
發佈日期	2011-09-14
標題	Microsoft 資訊安全公告MS11-074- 重要
CVE	CVE-2011-0653;CVE-2011-1252;CVE-2011-1890;CVE-2011-1891;CVE-2011-1892;CVE-2011-1893
BID
影響平台	對於 Microsoft Office Groove 2007、Microsoft SharePoint Workspace 2010、Microsoft Office Forms Server 2007、Microsoft Office SharePoint Server 2007、Microsoft Office SharePoint Server 2010、Microsoft Office Groove Data Bridge Server 2007、Microsoft Office Groove Management Server 2007、Microsoft Groove Server 2010、Microsoft SharePoint Services 2.0、Microsoft SharePoint Services 3.0、Microsoft SharePoint Foundation 2010、Microsoft Office Web Apps 2010 與 Microsoft Word Web App 2010，此資訊安全更新的等級為「重要」。
說明	這個資訊安全更新可解決 Microsoft SharePoint 與 Windows SharePoint Services中五項未公開報告的資訊安全風險，以及一項公開揭露的資訊安全風險。如果使用者點選蓄意製作的 URL 或造訪蓄意製作的網站，則最嚴重的資訊安全風險可能會允許權限提高。就最嚴重的資訊安全風險而言，由於依預設 Internet Explorer 8 及 Internet Explorer 9 中的 XSS 篩選器可協助封鎖網際網路區域的攻擊，所以能降低 Internet Explorer 8 及 Internet Explorer 9 使用者瀏覽至網際網路區域中 SharePoint 網站時所承受的風險。然而，內部網路區域依預設並不會啟用 Internet Explorer 8 和 Internet Explorer 9 中的 XSS 篩選器。此資訊安全更新會修改 Microsoft SharePoint 驗證及清理使用者輸入的方式、剖析惡意 XML 和 XSL 檔案的方式，以及處理特定要求參數內含之指令碼的方式，進而解決這些資訊安全風險。
解決方式	客戶可設定自動更新，藉由使用 Microsoft Update 服務，線上檢查來自於 Microsoft Update 的更新。客戶若已啟用自動更新，且設定線上檢查來自於 Microsoft Update 的更新，通常無需採取任何行動，因為將會自動下載和安裝此資訊安全更新。沒有啟用自動更新的客戶則必須檢查來自於 Microsoft Update 的更新，並手動安裝更新。如需在受支援版本的 Windows XP 和 Windows Server 2003 中自動更新特定設定選項的相關資訊，請參閱 Microsoft 知識庫文件編號 294871。如需在受支援版本的 Windows Vista、Windows Server 2008、Windows 7 及 Windows Server 2008 R2 中自動更新的相關資訊，請參閱瞭解 Windows 自動更新。若是系統管理員和企業安裝，或是想要手動安裝此資訊安全更新的使用者，Microsoft 建議客戶使用更新管理軟體，立即套用更新，或使用 Microsoft Update 服務檢查更新。
相關資訊連結	http://technet.microsoft.com/zh-tw/security/bulletin/ms11-074
相關修正資訊連結