| CVE編號 | CVE-2014-6355 |
|---|---|
| 影響產品 | 對於所有受支援版本的 Microsoft Windows,此資訊安全更新的等級為「重要」。 |
| 解決辦法 | 大部分客戶都已啟用自動更新,並且不必須採取任何行動,因為資訊安全更新將自動下載和安裝。對於沒有啟用自動更新的客戶,可採取開啟或關閉自動更新中的步驟來啟用自動更新。 |
| 張貼日 | 2014-12-09 |
| 上稿單位 | TWCERT/CC |
此資訊安全更新可解決 Microsoft Windows 中一項公開揭露的資訊安全風險。如果使用者瀏覽至含有蓄意製作之 JPEG 內容的網站,則此資訊安全風險便可能允許資訊洩漏。攻擊者可能使用此資訊洩漏資訊安全風險取得該系統的資訊,之後與其他攻擊合併侵入系統。資訊洩漏資訊安全風險本身不允許執行任意程式碼。不過,攻擊者可能會合併使用此資訊洩漏資訊安全風險與另一個資訊安全風險,以規避「位址空間配置隨機載入 (ASLR)」這類的資訊安全功能。
此更新透過變更解碼 JPEG 影像時初始化和管理記憶體的方式,藉此解決資訊安全風險。