此关键安全更新解决了 Windows 中的安全通道 (Schannel) 安全数据包中秘密报告的漏洞。Schannel 安全数据包实现安全套接字层 (SSL) 和传输层安全 (TLS) Internet 标准身份验证协议。 如果用户使用 Internet Web 浏览器查看特制网页或使用利用 SSL/TLS 的应用程序,则此漏洞可能允许远程执行代码。 但是,利用此漏洞的尝试最有可能导致 Internet Web 浏览器或应用程序退出。 重新启动系统之前,系统不能使用 SSL 或 TLS 连接到网站或资源。
此关键安全更新可消除五个秘密报告的漏洞以及一个公开披露的漏洞。 如果用户使用 Internet Explorer 查看特制网页,那么其中一个漏洞可能允许远程执行代码。 一个漏洞可能允许欺骗,也可能涉及某特制网页。 在所有远程执行代码情形中,帐户被配置为拥有较少用户权限的用户比具有管理用户权限的用户受到的影响要小。 对于欺骗情形来说,漏洞利用需要用户交互。
此关键安全更新解决了两个秘密报告的漏洞和两个公开披露的漏洞。 如果用户使用 Windows Vista 中的 Windows Mail 查看特制的电子邮件,则这些漏洞之一可能允许远程执行代码。 如果用户使用 Internet Explorer 访问特制网页,则其他漏洞可能允许信息泄露,而且不能在 Outlook Express 中直接被利用。 对于信息泄露漏洞,帐户被配置为拥有较少用户权限的用户比具有管理用户权限的用户受到的影响要小。
此关键安全更新可消除 Win32 API 中秘密报告的漏洞。 如果特制应用程序本地使用受影响的 API,此漏洞可能允许远程执行代码或特权提升。 因此,使用此 Win32 API 组件的应用程序可以用作此漏洞的媒介。 例如,Internet Explorer 在分析特制网页时使用此 Win32 API 函数。
安全文摘 