MS10-090: עדכון אבטחה מצטבר עבור Internet Explorer

העדכון המתואר במאמר זה הוחלף על-ידי עדכון חדש יותר. כדי לפתור בעיה זו, התקן את עדכון האבטחה המצטבר העדכני ביותר עבור Internet Explorer. כדי להתקין את העדכון האחרון, בקר באתר האינטרנט הבא של Microsoft:

http://www.update.microsoft.com/microsoftupdate

לקבלת פרטים טכניים נוספים על עדכון האבטחה המצטבר העדכני עבור Internet Explorer, בקר באתר האינטרנט הבא של Microsoft:

http://www.microsoft.com/technet/security/current.aspx
חשוב מאמר זה מכיל מידע המראה כיצד לסייע בהורדת הגדרות האבטחה או כיצד לבטל תכונות אבטחה במחשב. באפשרותך לבצע שינויים אלה כדי לעקוף בעיה ספציפית. לפני שתבצע שינויים אלה, אנו ממליצים לך להעריך את הסיכונים הקשורים ליישום פתרון זה בסביבה הספציפית שלך. אם אתה מיישם דרך זו לעקיפת הבעיה, נקוט אמצעים מתאימים נוספים שיסייעו בהגנה על המחשב שלך.

Microsoft פרסמה את עלון אבטחה מס' MS10-090. כדי להציג את עלון האבטחה המלא, בקר באחד מאתרי האינטרנט הבאים של Microsoft:

משתמשים ביתיים:

http://www.microsoft.com/security/updates/bulletins/201012.aspxדלג על הפרטים: הורד את העדכונים עבור המחשב הביתי או המחשב הנייד מאתר האינטרנט Microsoft Update כעת:

http://update.microsoft.com/microsoftupdate/
מומחי IT:

http://www.microsoft.com/technet/security/bulletin/MS10-090.mspx

כיצד להשיג עזרה ותמיכה עבור עדכון אבטחה זה

עבור משתמשים ביתיים, תמיכה ללא תשלום זמינה על-ידי חיוג 1-866-PCSAFETY בארה"ב ובקנדה

(בקר בדף זה למציאת מספר הטלפון המקומי) או על-ידי פנייה לנציגות Microsoft המקומית. לקבלת מידע אודות אופן הפנייה לנציגות Microsoft המקומית לתמיכה בבעיות עם עדכוני אבטחה, בקר באתר האינטרנט של התמיכה הבינלאומית של Microsoft:

http://support.microsoft.com/common/international.aspx?rdpath=4 לקוחות מצפון אמריקה יכולים גם לקבל גישה מיידית לתמיכה בלתי מוגבלת ללא תשלום בדואר אלקטרוני או לתמיכה בלתי מוגבלת באמצעות שיחת צ'אט אישית על-ידי ביקור באתר האינטרנט הבא של Microsoft:

http://support.microsoft.com/oas/default.aspx?&prid=7552 עבור לקוחות ארגוניים, תמיכה בעדכוני אבטחה זמינה באמצעות אנשי הקשר הרגילים של התמיכה.

מבוא

בעיות מוכרות בעדכון אבטחה זה

הערה הבעיות הבאות נפתרות באמצעות עדכון אבטחה 2482017. לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר במאגר הידע Microsoft Knowledge Base:

2482017 MS11-003: עדכון אבטחה מצטבר עבור Internet Explorer

לאחר התקנת עדכון אבטחה זה, ייתכן שתצטרך להתקין גם את עדכון 2467659. כדי לקבוע האם עליך להתקין את עדכון 2467659, עיין בבעיות המוכרות ברשימה הבאה:

עדכון אבטחה זה מכיל תיקון שמכבה את הזיהוי האוטומטי של קידוד Japanese Industrial Standard (JIS). אולם, קיימות תוכנות המשתמשות ברכיב בתוך Internet Explorer לפענוח הודעות דואר אלקטרוני ביפנית בתבנית HTML. לכן, תוכן הודעת הדואר האלקטרוני עשוי להיות מוצג בקוד לא קריא. בעיה זו מתרחשת מכיוון שאין זיהוי אוטומטי של קידוד JIS. כדי לפתור בעיה זו, התקן את עדכון 2467659.
בעת הדפסה או הצגת הדף של הצגה לפני הדפסה של דף אינטרנט שהושפע מהבעיה ב- Internet Explorer, תווים משובשים עשויים להופיע בהצגה לפני הדפסה ובמסמכים המודפסים. בעיה זו חוזרת גם אם אתה מקיש על F5 לטעינה חוזרת של הדף.
לאחר התקנת עדכון אבטחה זה, יתכן שתתבקש להתקין עדכון אבטחה זה שוב כאשר אתה סורק את המערכת באמצעות Windows Update, Microsoft Update, שרת Microsoft Windows Server Update Services (WSUS) או Microsoft Baseline Security Analyzer (MBSA). בעיה זו עלולה להתרחש אם התקנת עדכון אבטחה זה אך לא התקנת את עדכון 2467659. כדי לפתור בעיה זו, אשר את ההתקנה של עדכון ב- WSUS או התקן את 2467659 מתוך Windows Update, Microsoft Update או ממרכז ההורדות של Microsoft.
לאחר התקנת עדכון אבטחה זה, חלק מאתרי האינטרנט בתקן JIS (Japan Industrial Standard) עשויים שלא להיות מוצגים כהלכה ב-Internet Explorer. בעיה זו עלולה להתרחש אם אתר מבוסס JIS אינו מציין קידוד JIS בכותרות HTTP. לדוגמה, אתר האינטרנט מציין JIS רק במטה-תג.

כדי לעקוף בעיה זו, היעזר באחת מהשיטות הבאות.

פתרון עוקף בצד השרת כדי לעקוף בעיה זו בצד השרת, מנהל אתר האינטרנט יכול להגדיר את דף האינטרנט לשימוש בכותרת HTTP הבאה:
סוג תוכן: text/html;charset=iso-2022-jp

פתרונות עוקפים בצד הלקוחהשתמש בכל אחת מהשיטות הבאות במחשב הלקוח כדי לעקוף בעיה זו:
- כדי לעקוף בעיה זו בעת הצגת אתר האינטרנט, הקש F5 כדי לרענן את הדף.
- לחילופין, תוכל למחוק את ערכי רישום DWORD Iexplore.exe ו- explore.exe מהרישום במחשב הלקוח כדי לבטל את חסימת הזיהוי האוטומטי של JIS.
  
  אזהרה דרך זו לעקיפת הבעיה עלולה להפוך את המחשב או את הרשת לפגיעים יותר להתקפות של משתמשים זדוניים או להתקפות של תוכנות זדוניות כגון וירוסים. פתרון זה אינו מומלץ, אך אנו מספקים מידע עליו כדי שתוכל ליישם אותו לפי שיקול דעתך. השימוש בדרך זו לעקיפת הבעיה הוא על אחריותך בלבד. במפורש, אם תמחק את ערכי רישום DWORD Iexplore.exe ו- explore.exe, המערכת תהיה פגיעה יותר לבעיות האבטחה המתוארות ב- CVE-2010-3342 ו- CVE-2010-3348. למידע נוסף, עיין בעלון האבטחה הבא:
  
  http://www.microsoft.com/technet/security/bulletin/MS10-090.mspx עלון האבטחה מספק מידע נוסף אודות הבעיה בסעיפים הבאים:
  - Cross-Domain Information Disclosure Vulnerability - CVE-2010-3342
  - Cross-Domain Information Disclosure Vulnerability - CVE-2010-3348
  מידע זה כולל:
  - גורמים מקלים
  - דרכים לעקיפת הבעיה
  - תשובות לשאלות נפוצות
  חשוב הסעיף, השיטה או המשימה במאמר זה מכילים פעולות המציינות כיצד לשנות את הרישום. עם זאת, אם תשנה את הרישום באופן שגוי עלולות להתרחש בעיות חמורות. לכן הקפד לבצע פעולות אלה בזהירות. לקבלת תוספת הגנה, בצע גיבוי של הרישום לפני שתבצע בו שינויים. לאחר מכן, אם תתרחש בעיה, תוכל לשחזר את הרישום. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
  
  322756כיצד לגבות ולשחזר את הרישום ב- Windows
  כדי למחוק את ערכי רישום DWORD Iexplore.exe ו- Explore.exe, בצע את הפעולות הבאות:
  1. לחץ על התחל , הקלד regedit בתיבה התחל חיפוש ולאחר מכן לחץ על regedit.exe ברשימה תוכניות.
    
    אם תתבקש להזין סיסמת מנהל מערכת או לבצע אישור, הקלד את סיסמתך או לחץ על המשך.
  2. אתר את מפתח המשנה הבא ברישום ולחץ עליו:
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_DISABLE_ISO_2022_JP_SNIFFING
  3. לחץ באמצעות לחצן העכבר הימני על Iexplore.exe ולאחר מכן לחץ על מחק.
  4. לחץ על כן לאימות.
  5. לחץ באמצעות לחצן העכבר הימני על Explore.exe ולאחר מכן לחץ על מחק.
  6. לחץ על כן לאימות.
  7. צא מ'עורך הרישום' והפעל מחדש את המחשב.
  למידע נוסף אודות מפתח המשנה של הרישום FEATURE_DISABLE_ISO_2022_JP_SNIFFING, עיין במאמר הבא במאגר הידע Microsoft Knowledge Base:
  
  2467659 זמין עדכון עבור Internet Explorer: 14 בדצמבר, 2010

עדכון 2467659

לקבלת מידע נוסף על עדכון 2467659, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:

2467659 זמין עדכון עבור Internet Explorer: 14 בדצמבר, 2010
כדי להתקין את עדכון 2467659, בקר באתר האינטרנט הבא של Microsoft:

http://www.update.microsoft.com/

תיקונים שאינם קשורים לאבטחה הכלולים בעדכון אבטחה זה

תיקוני מהדורת הפצה כללית (GDR)

ניתן או לא ניתן להתקין עדכונים בהתאם לגירסה של Windows ולגירסה של היישום המושפע. אנא הצג את המאמרים השונים כדי לקבוע את מצב העדכון.

מספר המאמר	שם המאמר
2437070	דליפת זיכרון מתרחשת כאשר אתה משתמש ב- WinINet API בישום כדי לשלוח בקשות HTTPS לשרת
925683	ב-Internet Explorer 6 או ב-Internet Explorer 8, האירוע OnChange בשדה כלשהו אינו מתרחש כאשר משנים את התו "ß" לתווים "ss" או כאשר משנים את התווים "ss" לתו "ß"
975736	דליפת זיכרון מתרחשת כאשר אתה פותח דף אינטרנט המכיל הפניה מעגלית ב- iframe

תיקונים חמים

חבילות עדכון האבטחה 2416400 עבור Windows XP ועבור Windows Server 2003 כוללות קבצי תיקונים חמים ל-Internet Explorer וקבצי הפצה כללית (GDR). אם לא קיימים קבצי Internet Explorer מסביבת התיקון החם, עדכון האבטחה 2416400 מתקין את קבצי ההפצה הכללית (GDR).

התיקונים החמים מיועדים לתקן רק את הבעיות המתוארות במאמרי מאגר הידע Microsoft Knowledge Base המשויכים לתיקונים החמים. יש להחיל את התיקונים החמים רק במערכות שבהן מתעוררות בעיות ספציפיות אלו.

תיקונים חמים אלה עשויים לעבור בדיקות נוספות. משום כך, אם המערכת שברשותך לא נפגעה באופן חמור מבעיה זו, מומלץ להמתין למהדורת ה- service pack הבאה שתכלול את התיקונים החמים. למידע נוסף על אופן התקנת התיקונים החמים הכלולים בעדכון אבטחה 2416400, לחץ על מספר המאמר להלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:

897225כיצד להתקין תיקונים חמים הכלולים בעדכוני אבטחה מצטברים עבור Internet Explorer
הערה בנוסף להתקנת קבצי תיקונים חמים, עיין במאמר מתוך מאגר הידע Microsoft Knowledge Base המשויך לתיקון החם הספציפי שעליך להתקין, כדי לברר איזה שינוי נדרש ברישום לצורך הפעלת אותו תיקון חם.

לקבלת פרטים נוספים על הדרך לקבוע אם קבצי Internet Explorer הקיימים הם מהתיקון החם או מסביבת קבצי ההפצה הכללית (GDR), לחץ על מספר המאמר מתוך מאגר הידע Microsoft Knowledge Base:

824994תיאור התכולה של חבילת עדכוני התוכנה של Windows XP Service Pack 2 ו-Windows Server 2003

מידע נוסף

פתרונות תיקון המתוארים בסעיף זה אינם מהווים תחליף לעדכוני אבטחה כלשהם. אנו ממליצים להתקין תמיד את עדכוני האבטחה העדכניים ביותר. עם זאת, אנו מציעים פתרונות תיקון אלה כאפשרויות מעקף בתרחישים מסוימים. פתרונות תיקון אלה מסייעים לפתור את בעיית האבטחה המתוארת ב-CVE-2010-3962. למידע נוסף אודות בעיית האבטחה והפתרונות העוקפים, בקר בדף עלון האבטחה הבא של Microsoft:

http://www.microsoft.com/technet/security/bulletin/MS10-090.mspx עלון האבטחה מספק מידע נוסף אודות הבעיה בסעיף "Uninitialized Memory Corruption Vulnerability - CVE-2010-3962". מידע זה כולל:

גורמים מקלים
דרכים לעקיפת הבעיה
תשובות לשאלות נפוצות

זמינים שני פתרונות תיקון:

פתרון תיקון עבור CSS מוגדר-משתמש
זמין פתרון תיקון המאפשר לגירסאות נתמכות של Internet Explorer לעקוף את סגנון גיליון סגנונות מדורג של אתר אינטרנט על-ידי שימוש ב- CSS מותאם אישית לעיצוב מסמכים.

כדי להסיר CSS מוגדר-משתמש ולשחזר את ההגדרות המקוריות, לחץ על הלחצן או על הקישור תקן תחת הכותרת הסר CSS מוגדר-משתמש בסעיף "פתרון תיקון עבור CSS מוגדר-משתמש".
פתרון תיקון עבור מניעת ביצוע נתונים ב-Internet Explorer 7
יצרנו מסד נתונים של תאימות יישומים שיאפשר Data Execution Prevention (DEP) עבור כל הגירסאות של Internet Explorer התומכות ב- DEP.

להתקנת מסד הנתונים של תאימות יישומים, לחץ על הלחצן תקן בסעיף "פתרון תיקון עבור מניעת ביצוע נתונים ב-Internet Explorer 7".

פתרון תיקון עבור CSS מוגדר משתמש

כדי לאפשר או להשבית אוטומטית את הפתרון העוקף של CSS מוגדר משתמש, לחץ על הלחצן או על הקישור תקן תחת הכותרת החל CSS מוגדר-משתמש או תחת הכותרת הסר CSS מוגדר-משתמש. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ופעל בהתאם לשלבים באשף התיקון.

החל CSS מוגדר-משתמש	הסר CSS מוגדר-משתמש

הערות

ייתכן שאשפים אלה מוצגים באנגלית בלבד. עם זאת, התיקונים האוטומטיים פועלים גם עבור גרסאות של Windows בשפות אחרות.
אם אינך מחובר למחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.
אם תחליט לא להתקין את עדכון האבטחה הנוכחי, ובמקום זאת תבחר להשתמש בפתרון העוקף המתואר בעלון אבטחה MS10-090, תוכל ללחוץ על הלחצן תקן כדי להפעיל או להשבית את החלת ה- CSS המוגדר על-ידי המשתמש.

בעיות מוכרות עם פתרון תיקון עבור CSS מוגדר-משתמש

בתרחישים מסוימים, מדיניות קבוצתית עלולה לחסום את התקנת פתרון תיקון זה במערכות המריצות Windows Server 2008 או Windows Server 2008 R2. במצב זה, עלולה להופיע הודעת שגיאה הדומה להודעה הבאה:

מנהל המערכת הגדיר מדיניות למניעת התקנה זו.

צור קשר עם מנהל המערכת למידע נוסף אודות אופן שינוי המדיניות כדי לאפשר את ההתקנה.
ייתכן שלא תוכל להתקין פתרון תיקון זה אם קיים מפתח משנה Styles במיקום הבא ברישום:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles כדי לפתור בעיה זו, הסר את מפתח המשנה Styles מהרישום, ואז התקן את התיקון.

הערה תוכל לייצא את מפתח המשנה Styles מהרישום, ואז לייבא אותו מחדש לאחר התקנת התיקון. לשם כך, בצע את השלבים הבאים:
1. לחץ לחיצה ימנית על מפתח המשנה Styles ולאחר מכן לחץ על ייצוא.
2. הקלד שם עבור קובץ .REG הזמני, ושמור אותו בשולחן העבודה.
3. לחץ לחיצה ימנית על מפתח המשנה Styles ולאחר מכן לחץ על מקש Delete. לחץ על כן לאימות.
4. התקן את פתרון התיקון.
5. לחץ לחיצה כפולה על קובץ .REG הזמני ששמרת בשולחן העבודה כדי לייבא את מפתח המשנה של הרישום. לחץ על כן לאימות.

פתרון תיקון עבור מניעת ביצוע נתונים ב-Internet Explorer 7

כדי להפעיל או להשבית DEP באופן אוטומטי ב-Internet Explorer 7, לחץ על הלחצן או על הקישור תקן. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ופעל בהתאם לשלבים באשף התיקון.

אפשר את מסד הנתונים של תאימות יישומים	השבת את מסד הנתונים של תאימות יישומים

הערות

אינך זקוק למסד נתונים זה אם אתה משתמש ב-Internet Explorer 8 ב-Windows XP Service Pack 3 (SP3), ב-Windows Vista SP1 או בגירסאות מאוחרות יותר של Windows. וזאת מכיוון ש- Internet Explorer 8 בוחר כברירת מחדל להשתמש ב- DEP בפלטפורמות אלו.
אם תחליט שלא להתקין את עדכון האבטחה הנוכחי ובמקום זאת תחליט להשתמש בפתרון העוקף המתואר ב-MS10-018, תוכל ללחוץ על הלחצן תקן כדי להפעיל או להשבית DEP. לאחר מכן, לחץ על הפעל בתיבת הדו-שיח הורדת קובץ, ועקוב אחר השלבים של האשף.
ייתכן שאשפים אלה מוצגים באנגלית בלבד. עם זאת, התיקונים האוטומטיים פועלים גם עבור גרסאות של Windows בשפות אחרות.
אם אינך מחובר למחשב שבו אירעה הבעיה, תוכל לשמור את פתרון התיקון בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.
כדי שתיקון עוקף זה יפעל, על המעבד לתמוך ב- DEP עם אכיפת חומרה. לקבלת מידע נוסף על הדרך לקבוע האם המערכת תומכת ב- DEP עם אכיפת חומרה, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:

912923כיצד לקבוע כי התכונה DEP הנאכפת על ידי חומרה נמצאת ומוגדרת במחשב

תקנו עבורי

לרשימת קבצים המסופקים עם חבילות אלו, לחץ על הקישור הבא:

טבלאות תכונות קובץ עבור עדכון אבטחה 2416400.csv

אם אינך בטוח איזו גירסת Windows פועלת במחשב שלך או האם זו גירסת 32 סיביות או 64 סיביות, פתח את 'מידע מערכת' (Msinfo32.exe), ובדוק איזה ערך רשום עבור סוג מערכת. לשם כך, בצע את השלבים הבאים:

לחץ על התחל ולאחר מכן לחץ על הפעלה או לחץ על התחל חיפוש.
הקלד msinfo32.exe, ולאחר מכן הקש על ENTER.
תחת מידע מערכת, סקור את הערך עבור הפריט סוג מערכת:
- עבור מהדורות 32 סיביות של Windows, הערך של סוג מערכת הוא מחשב מבוסס x86.
- עבור מהדורות 64 סיביות של Windows, הערך של סוג מערכת הוא מחשב מבוסס x64.

לקבלת מידע נוסף על הדרך לקבוע אם במחשב שלך פועלת מהדורת 32 סיביות או 64 סיביות של Windows XP, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:

827218כיצד לקבוע אם במחשב שלך פועלת גירסת 32 סיביות או גרסת 64 סיביות של מערכת ההפעלה Windows