此安全更新可解决 Microsoft Dynamics AX Enterprise Portal 中一个秘密报告的漏洞。如果用户单击特制的 URL 或访问特制网站,该漏洞可能允许特权提升。在电子邮件攻击情形中,攻击者可以通过向目标 Microsoft Dynamics AX Enterprise Portal 网站的用户发送包含特制 URL 的电子邮件,并诱使用户单击此特制 URL 来利用此漏洞。浏览到 Internet 区域中的 Microsoft Dynamics AX Enterprise Portal 网站的 Internet Explorer 8 和 Internet Explorer 9 用户受到的威胁较小。默认情况下,Internet Explorer 8 和 Internet Explorer 9 中的 XSS 筛选器可在 Internet 区域中阻止此攻击。但是,Internet Explorer 8 和 Internet Explorer 9 中的 XSS 筛选器在 Intranet 区域中未启用。
对于 Microsoft Dynamics AX 2012 Enterprise Portal 的所有受支持版本,此安全更新的等级为“重要”。此安全更新通过更正 Microsoft Dynamics AX 2012 Enterprise Portal 验证和清理用户输入的方式来解决该漏洞。
建议。Microsoft 建议客户尽早应用此更新。
已知问题。 Microsoft 知识库文章 2709100 介绍了客户在安装此安全更新时可能遇到的当前已知问题。本文还介绍了这些问题的建议解决办法。
English Version
http://technet.microsoft.com/en-us/security/bulletin/ms12-040
简体中文版
http://technet.microsoft.com/zh-cn/security/bulletin/MS12-040
Responses to “MS12-040 Vulnerability in Microsoft Dynamics AX Enterprise Portal Could Allow Elevation of Privilege (2709100)”
Back Top
Leave a Reply