日经BP社2003-10-07 06:52:00
【日经BP社报道】日本微软10月4日公布了IE 5.01以上版本中发现的“紧急”级安全漏洞。仅仅访问被人做了手脚的Web页面,就可能运行包括病毒在内的任意程序(代码)。如果这种站点的URL被嵌入到HTML邮件中,只要打开HTML邮件,就可能受害。

  其对策是安装补丁程序。可通过Windows Update和微软安全信息页面进行安装。此次公开的补丁程序是IE累积补丁程序。能够修正过去的补丁程序没有修补的特殊安全漏洞。

  此次的安全漏洞原因在于:IE没有对用户访问Web站点时由Web服务器发送过来的HTTP响应中的参数进行正确的检查。因此就可能将原本不能下载或运行的内容(程序)误认为安全内容,而随意地下载或运行。

  也就是说,只要访问被人做了手脚的Web页面,不需得到用户许可,就可能运行任意程序。如果在HTML邮件中加入了同样的页面URL,只要阅读HTML邮件,就可能被误导至该Web页面而遭受损失。

  其对策是安装补丁程序。可以通过访问“Windows Update”来安装。也可以通过微软安全信息页面下载。补丁程序可安装于IEE5.5 SP2、IE6/IE 6 SP2以及在Windows 2000 SP3/SP4上运行的IE5.01中。

  此次的补丁程序属于累积补丁,包括迄今为止已经公开的所有IE补丁。而且还能修正8月21日公开的安全漏洞之一“对象标签漏洞”。虽然此前微软称,这一漏洞能利用8月21日公开的“MS03-032”补丁来修正,其实目前发现并不能修正。

  此次公开的安全漏洞酷似“对象标签漏洞”,不过在微软公开的“MS03-032”相关信息中则表示:“微软对这些报告进行调查后,已经同时公开了这些问题的补丁及新的安全信息。这些问题将包含在安全信息MS03-040中”,因此属于又一种安全漏洞(“这些问题”是指不能利用“MS03-032”补丁程序修正的“对象标签漏洞”,以及安装“MS03-032”补丁程序后,不能运行ASP.NET 1.0程序)。

  另外,与过去公开的IE累积补丁一样,安装此次公开的补丁程序后,将无法使用几项HTML帮助功能。正如“微软支持技术信息811630”所述:如果通过Windows Update安装“811360:重要更新”,那么在安装补丁后还能使用HTML帮助功能。

  同一天,日本微软还公开了有关Windows Media Player的“微软支持技术信息-828026”。虽说不是漏洞补丁,但是建议与此次的“MS03-040”补丁程序同时安装。可以从该技术信息页面下载。安装这个“Windows Media Player更新”后,能够防止通过Windows Media Player打开任意Web页面。同样可通过Windows Update安装“Windows Media Player更新”。

  另外,需要注意的是,尽管日本微软的安全信息中表示:“微软支持技术信息-828026”中介绍的“Windows Media Player更新”不是“安全漏洞补丁”,但Windows Update则显示是“Windows Media Player安全漏洞补丁(KB828026)”。



--文学城www.wenxuecity.com--