重要！立即更新！.....台灣微軟2011 年4月份資訊安全公告發行

2011-04-14

很久沒有見到微軟的 Windows Update有這麼 [龐大]的更新了，
顯見這次的更新，修正許多細節。

強烈建議！趕緊更新～～

重要！立即更新！.....台灣微軟2011 年4月份資訊安全公告發行

很久沒有見到微軟的 Windows Update有這麼龐大的更新了，
顯見這次的更新，修正許多細節。

強烈建議！趕緊更新～～

http://www.microsoft.com/taiwan/technet/security/bulletin/ms11-apr.mspx

如果您的電腦有安裝 Office (2003~2010)，這次也有許多更新。

使用 Visual Studio的朋友，也有部分軟體更新。

下表依嚴重性摘要說明本月份資訊安全公告。

如需受影響的軟體之詳細資料，請參閱下節＜受影響的軟體及下載位置＞。

公告編號	公告標題與提要	最高的嚴重性等級與資訊安全風險影響	重新開機需求	受影響的軟體
MS11-018	Internet Explorer 積存資訊安全更新 (2497640) 這個資訊安全更新可解決 Internet Explorer 中四項未公開報告的資訊安全風險，以及一項公開揭露的資訊安全風險。對於 Windows 用戶端上的 Internet Explorer 6、Internet Explorer 7 和 Internet Explorer 8，此資訊安全更新的等級為「重大」；對於 Windows 伺服器上的 Internet Explorer 6、Internet Explorer 7 和 Internet Explorer 8，等級為「中度」。 Internet Explorer 9 不受此資訊安全風險影響。最嚴重的資訊安全風險可能會在使用者以 Internet Explorer 檢視蓄意製作的網頁時，允許遠端執行程式碼。成功利用這類任一資訊安全風險的攻擊者可以取得與本機使用者相同的使用者權限。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。	重大遠端執行程式碼	需要重新開機	Microsoft Windows、 Internet Explorer
MS11-019	SMB 用戶端中的資訊安全風險可能會允許遠端執行程式碼 (2511455) 這個資訊安全更新可解決 Microsoft Windows 中一項公開揭露的資訊安全風險和一項未公開報告的資訊安全風險。如果攻擊者將蓄意製作的 SMB 回應傳送至一用戶端啟動的 SMB 要求，這些資訊安全風險可能會允許遠端執行程式碼。要利用這些資訊安全風險，攻擊者必須引誘使用者啟動連至一台蓄意製作的 SMB 伺服器的 SMB 連線。	重大遠端執行程式碼	需要重新開機	Microsoft Windows
MS11-020	SMB 伺服器中的資訊安全風險可能會允許遠端執行程式碼 (982214) 這個資訊安全更新可解決 Microsoft Windows 中一項未公開報告的資訊安全風險。如果攻擊者蓄意製作 SMB 封包並將其傳送至受影響的系統，則此資訊安全風險可能會允許遠端執行程式碼。最佳做法的防火牆和標準預設防火牆設定有助於防止網路受到來自企業外試圖利用這些資訊安全風險的攻擊。	重大遠端執行程式碼	需要重新開機	Microsoft Windows
MS11-027	ActiveX Kill Bit (刪除位元) 的積存資訊安全更新 (2508272) 這個資訊安全更新可解決 Microsoft 軟體中兩項未公開報告的資訊安全風險，以及一項公開揭露的資訊安全風險。如果使用者使用 Internet Explorer 檢視蓄意製作而產生特定 ActiveX 控制項的網頁，這些資訊安全風險即可能允許遠端執行程式碼。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。此更新程式同時也包含三個協力廠商 ActiveX 控制項的 Kill Bit (刪除位元)。	重大遠端執行程式碼	可能需要重新開機	Microsoft Windows
MS11-028	.NET Framework 中的資訊安全風險可能會允許遠端執行程式碼 (2484015) 這個資訊安全更新可解決 Microsoft .NET Framework 中一項公開揭露的資訊安全風險。如果使用者使用可執行 XAML 瀏覽器應用程式 (XBAP) 的網頁瀏覽器檢視蓄意製作的網頁，此資訊安全風險就可能允許在用戶端系統上遠端執行程式碼。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。如果伺服器允許處理 ASP.NET 網頁，且攻擊者將蓄意製作的 ASP.NET 網頁成功上傳到執行 IIS 的伺服器系統並加以執行，則這些資訊安全風險也可能會允許在該伺服器系統上遠端執行程式碼 (網站代管可能會發生這種情況)。 Windows .NET 應用程式也可能使用這個資訊安全風險，以略過程式碼存取安全性 (CAS) 限制。	重大遠端執行程式碼	可能需要重新開機	Microsoft Windows
MS11-029	GDI+ 中的資訊安全風險可能會允許遠端執行程式碼 (2489979) 這個資訊安全更新可解決 Microsoft Windows GDI+ 中一項未公開報告的資訊安全風險。如果使用者使用受影響的軟體檢視特製影像檔，或者瀏覽內含特製內容的網站，那麼這個資訊安全風險可能會允許遠端執行程式碼。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。	重大遠端執行程式碼	可能需要重新開機	Microsoft Windows、 Microsoft Office
MS11-030	DNS 解析中的資訊安全風險可能會允許遠端執行程式碼 (2509553) 這個資訊安全更新可解決 Windows DNS 解析中一項未公開報告的資訊安全風險。如果攻擊者能存取網路，然後建立自訂程式將蓄意製作的 LLMNR 廣播查詢傳送到目標系統，此資訊安全風險可能會允許遠端執行程式碼。最佳實作的防火牆和標準預設防火牆設定有助於防止網路受到來自企業外的攻擊。最佳方式建議連線至網際網路的系統盡可能曝露最少數量的連接埠。在此情況下，應該從網際網路上封鎖 LLMNR 連接埠。	重大遠端執行程式碼	需要重新開機	Microsoft Windows
MS11-031	JScript 與 VBScript 指令碼引擎中的資訊安全風險可能會允許遠端執行程式碼 (2514666) 這個資訊安全更新能解決 JScript 和 VBScript 指令碼引擎中一項未公開報告的資訊安全風險。如果使用者造訪蓄意製作的網站，此資訊安全風險可能會允許遠端執行程式碼。攻擊者並不能強迫使用者造訪網站，而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件或 Instant Messenger 訊息中通往攻擊者網站的連結。	重大遠端執行程式碼	可能需要重新開機	Microsoft Windows
MS11-032	OpenType 壓縮字型格式 (CFF) 驅動程式中的資訊安全風險可能會允許遠端執行程式碼 (2507618) 此資訊安全更新可解決 OpenType 壓縮字型格式 (CFF) 驅動程式中一項未公開報告的資訊安全風險。如果使用者檢視以蓄意製作的 CFF 字型所呈現的內容，則該資訊安全風險可能會允許遠端執行程式碼。但是，攻擊者無法強迫使用者檢視蓄意製作的內容，而是引誘使用者自行前往某網站。一般的做法是設法讓使用者按一下電子郵件或 Instant Messenger 訊息中通往攻擊者網站的連結。	重大遠端執行程式碼	需要重新開機	Microsoft Windows
MS11-021	Microsoft Excel 中的資訊安全風險可能會允許遠端執行程式碼 (2489279) 這個資訊安全更新可解決 Microsoft Office 中九項未公開報告的資訊安全風險。如果使用者開啟蓄意製作的 Excel 檔案，上述資訊安全風險可能會允許遠端執行程式碼。成功利用這類任一資訊安全風險的攻擊者可以取得與登入使用者相同的使用者權限。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。	重要遠端執行程式碼	可能需要重新開機	Microsoft Office
MS11-022	Microsoft PowerPoint 中的資訊安全風險可能會允許遠端執行程式碼 (2489283) 這個資訊安全更新可解決 Microsoft PowerPoint 中三個未公開報告的資訊安全風險。如果使用者開啟蓄意製作的 PowerPoint 檔案，此資訊安全風險可能會允許遠端執行程式碼。成功利用這類任一資訊安全風險的攻擊者可以取得與本機使用者相同的使用者權限。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。 Microsoft 資訊安全摘要報告 2501584 提及且 Microsoft 知識庫文件編號 2501584 內提供的「PowerPoint 2010 Disable Edit in Protected View」(以受保護的檢視停用編輯)，係適用於 PowerPoint 2010 的自動化 Microsoft Fix it 解決方案，可阻擋攻擊行為，避免 CVE-2011-0655 和 CVE-2011-0656 中描述的資訊安全風險遭到利用。	重要遠端執行程式碼	可能需要重新開機	Microsoft Office、 Microsoft 伺服器軟體
MS11-023	Microsoft Office 中的資訊安全風險可能會允許遠端執行程式碼 (2489293) 這個資訊安全更新可解決 Microsoft Office 中一項公開揭露的資訊安全風險和一項未公開報告的資訊安全風險。如果使用者開啟蓄意製作的 Office 檔案，或開啟位於與蓄意製作的程式庫檔案相同網路目錄的合法 Office 檔案，此資訊安全風險可能會允許遠端執行程式碼。成功利用其中一項資訊安全風險的攻擊者可以取得與登入使用者相同的使用者權限。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。	重要遠端執行程式碼	可能需要重新開機	Microsoft Office
MS11-024	Windows Fax Cover Page Editor 中的資訊安全風險可能會允許遠端執行程式碼 (2527308) 此資訊安全更新可解決 Microsoft Windows 中一項已公開揭露的資訊安全風險。如果使用者開啟使用 Windows Fax Cover Page Editor 蓄意製作的傳真封面頁檔案 (.cov)，則此資訊安全風險可能會允許遠端執行程式碼。成功利用此資訊安全風險的攻擊者可以取得與登入使用者相同的使用者權限。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。	重要遠端執行程式碼	需要重新開機	Microsoft Windows
MS11-025	Microsoft Foundation Class (MFC) 程式庫中的資訊安全風險可能會允許遠端執行程式碼 (2500212) 此資訊安全更新可解決使用 Microsoft Foundation Class (MFC) 程式庫所建立的特定應用程式中一項公開報告的資訊安全風險。如果使用者開啟與此受影響應用程式關聯的合法檔案，且該檔案與蓄意製作的程式庫檔案位於相同的網路資料夾，則此資訊安全風險可能會允許遠端執行程式碼。使用者必須造訪不受信任的遠端檔案系統位置或 WebDAV 共用，並從該位置開啟文件，然後使用受影響的應用程式載入文件，這類攻擊才會成功。	重要遠端執行程式碼	可能需要重新開機	Microsoft 開發者工具和軟體
MS11-026	MHTML 中的資訊安全風險可能會導致資訊洩漏 (2503658) 這個資訊安全更新能解決 Microsoft Windows MHTML 通訊協定處理常式中一項公開揭發的資訊安全風險。如果使用者造訪蓄意製作的網站，此資訊安全風險便可能允許資訊洩漏。在網頁式攻擊案例中，網站可能含有為了攻擊這個資訊安全風險而蓄意製作的連結。攻擊者必須引誘使用者造訪網站並開啟蓄意製作的連結。	重要資訊洩漏	需要重新開機	Microsoft Windows
MS11-033	WordPad 文字轉換程式中的資訊安全風險可能會允許遠端執行程式碼 (2485663) 這個資訊安全更新可解決 Microsoft Windows 中一項未公開報告的資訊安全風險。對於所有受支援版本的 Windows XP 和 Windows Server 2003，此資訊安全更新的等級為「重要」。所有受支援版本的 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2，皆不受此資訊安全風險影響。如果使用者開啟使用 WordPad 蓄意製作的檔案，則此資訊安全風險可能會允許遠端執行程式碼。成功利用此資訊安全風險的攻擊者可以取得與本機使用者相同的使用者權限。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。	重要遠端執行程式碼	可能需要重新開機	Microsoft Windows
MS11-034	Windows 核心模式驅動程式中的資訊安全風險可能會允許權限提高 (2506223) 這個資訊安全更新可解決 Microsoft Windows 中三十個未公開報告的資訊安全風險。如果攻擊者從本機登入並執行蓄意製作的應用程式，則可能會允許權限提高。攻擊者必須擁有有效的登入認證，並能夠登入本機，才能利用這些資訊安全風險。遠端或匿名使用者無法利用這個資訊安全風險。	重要權限提高	需要重新開機	Microsoft Windows

我將思想傳授他人，他人之所得，亦無損於我之所有；

猶如一人以我的燭火點燭，光亮與他同在，我卻不因此身處黑暗。----Thomas Jefferson

線上課程教學，遠距教學 (Web Form 約 51hr) https://dotblogs.com.tw/mis2000lab/2016/02/01/aspnet_online_learning_distance_education_VS2015

線上課程教學，遠距教學 (ASP.NET MVC 約 135hr) https://dotblogs.com.tw/mis2000lab/2018/08/14/ASPnet_MVC_Online_Learning_MIS2000Lab

寫信給我，不要私訊 -- mis2000lab (at) yahoo.com.tw 或 school (at) mis2000lab.net

(1) 第一天 ASP.NET MVC5 完整影片（5.5小時 / .NET 4.x版）免費試聽。影片 https://youtu.be/9spaHik87-A

(2) 第一天 ASP.NET Core MVC 完整影片（3小時 / .NET Core 6.0~8.0）免費試聽。影片 https://youtu.be/TSmwpT-Bx4I

[學員感言] mis2000lab課程評價 - ASP.NET MVC , WebForm 。 https://mis2000lab.medium.com/%E5%AD%B8%E5%93%A1%E6%84%9F%E8%A8%80-mis2000lab%E8%AA%B2%E7%A8%8B%E8%A9%95%E5%83%B9-asp-net-mvc-webform-77903ce9680b

ASP.NET遠距教學、線上課程（Web Form + MVC）。第一天課程， "完整" 試聽。

......... facebook社團 https://www.facebook.com/mis2000lab ......................

......... YouTube (ASP.NET) 線上教學影片 https://www.youtube.com/channel/UC6IPPf6tvsNG8zX3u1LddvA/

Blog文章 "附的範例" 無法下載，請看 https://dotblogs.com.tw/mis2000lab/2016/03/14/2008_2015_mis2000lab_sample_download

請看我們的「售後服務」範圍（嚴格認定）。

......................................................................................................................................................

ASP.NET MVC => .NET Core MVC 線上教學 ...... 第一天課程完整內容 "免費"讓您評估 / 試聽

[遠距教學、教學影片] ASP.NET (Web Form) 課程上線了！MIS2000Lab.主講事先錄好的影片，並非上課側錄！觀看時，有如「一對一」面對面講課。

回首頁

ASP.NET專題實務 WebForm + MVC線上教學影片 -- MIS2000Lab.

MIS2000 Lab.已推出20餘本電腦書，曾任資策會專任講師與微軟MVP。自.NET 1.x起，已出版15本ASP.NET (Web Form)書籍，也有遠距教學線上教程教學影片