10月系统安全公告
微软安全通告:MS03-040 (MS,补丁)
文章来源:安络科技
涉及程序:
Internet Explorer
描述:
Internet Explorer 累计补丁包
详细:
本补丁包包含了所有先前为 Internet Explorer 5.01, 5.5 和 6.0 发布的补丁包。另外,它还清除了以下几个新发现的漏洞:
由于 Internet Explorer 不能正确判定 Web 服务器的弹出窗口返回的对象类型,所以其中存在安全漏洞。攻击者可以利用该漏洞在用户系统上执行任意代码。如果用户访问了攻击者的站点,攻击者无须用户的任何动作就可利用该漏洞。攻击者也可以发送基于 HTML 的 email 来利用该漏洞。
由于 Internet Explorer 不能正确判定 Web 服务器 XML 数据绑定时返回的对象类型而存在安全漏洞。攻击者可以利用该漏洞在用户系统中执行任意代码。如果用户访问了攻击者的站点,攻击者无须用户的任何动作就可利用该漏洞。攻击者也可以发送基于 HTML 的 email 来利用该漏洞。
另外,对 Internet Explorer 受限制区域处理动态 HTML 动作所采用的方法做了改变。有可能被攻击者利用一个漏洞(如:上述两个漏洞之一)使 Internet Explorer 在 internet 区域的安全上下文中执行任意代码。另外,攻击者可以利用 Windows Media Player’s (WMP) 的功能打开 URL 来实施攻击。也可以发送基于 HTML 的 email 来利用该漏洞。
要利用以上漏洞,攻击者必须创建基于 HTML 的 email 并发送给用户,而且攻击者还必须拥有可以利用该漏洞的网站。
缓解因素:
默认状态,Windows Server 2003 的 Internet Explorer 在增强安全配置中运行。Internet Explorer 的默认配置可以阻止此攻击。如果增强安全配置被禁止,阻止以上攻击的能力即不存在了。
在基于 Web 的攻击时,攻击者必须拥有 Web 站点,并且其中存在可利用该漏洞的网页。
攻击者只可以和用户相同权限来利用漏洞。普通用户比管理员受到的危险更少。
受影响版本:
Internet Explorer 5.01
Internet Explorer 5.5
Internet Explorer 6.0
Internet Explorer 6.0 for Windows Server 2003
攻击方法:
暂无有效攻击代码
解决方案:
补丁下载:
Internet Explorer 6 SP1
英文版
http://download.microsoft.com/download/A/B/B/ABB44141-F5D9-4BCA-B85C-9CDBEE344F14/q828750.exe
中文版
http://download.microsoft.com/download/F/8/8/F88C574F-56BC-4512-B78E-1EA28EABA65A/q828750.exe
Internet Explorer 6 SP1 for Windows XP SP1 64-bit Edition
英文版
http://download.microsoft.com/download/0/9/C/09CE9671-1F0C-4666-8980-9A094A3E570F/q828750.exe
Internet Explorer 6 for Windows XP
英文版
http://download.microsoft.com/download/A/4/E/A4ECF739-A31F-4A7A-8CA2-C676B4A9D1B4/q828750.exe
中文版
http://download.microsoft.com/download/4/9/1/491C3B09-452B-4E7C-9CB3-4C6FEE875755/q828750.exe
Internet Explorer 5.5 SP2
英文版
http://download.microsoft.com/download/5/F/D/5FD22C56-00FA-41AB-8067-D9360C432C24/q828750.exe
中文版
http://download.microsoft.com/download/C/2/7/C27ABF38-160B-4F48-A4F3-712CD21AAC7B/q828750.exe
Internet Explorer 5.01 for Windows 2000 SP3 and Windows 2000 SP4
英文版
http://download.microsoft.com/download/2/F/8/2F8969D9-E2B4-4350-BD9D-96668434785A/q828750.exe
中文版
http://download.microsoft.com/download/7/A/4/7A438043-33F1-427A-A3F9-50CC729F4659/q828750.exe
Internet Explorer for Windows Server 2003 Family
英文版
http://download.microsoft.com/download/2/c/d/2cdb24fe-0308-4854-a3d3-30457402eb6e/WindowsServer2003-KB828750-x86-ENU.exe
中文版
http://download.microsoft.com/download/5/a/d/5ad5b97d-e88c-4cdf-bef3-0a80b516a6a2/WindowsServer2003-KB828750-x86-CHS.exe
Internet Explorer for Windows Server 2003 64-bit Edition Family
英文版
http://download.microsoft.com/download/9/e/0/9e0b9306-f850-46ad-8446-b746b69a84be/WindowsServer2003-KB828750-ia64-ENU.exe
发布时间:2003年10月8日