|
微软11月12日公布了IE游览器中发现的5个安全漏洞。IE游览器所有版本(5.01/5.5/6)均受影响。最严重等级为“紧急”级。如果恶意使用最危险的安全漏洞,只需游览Web页面和HTML邮件,就可能运行任意程序。对策是安装补丁程序。可通过“Windows Update”和微软安全信息页面进行安装。此次公布的补丁程序是包含过去公开的IE浏览器全部补丁的“升级补丁程序”。
此次公布的安全漏洞为如下5种:
(1)ExecCommand的交叉域(Cross Domain)漏洞
(2)函数指针(Function Pointer)地址的交叉域漏洞
(3)脚本URL的交叉域漏洞
(4)XML对象的漏洞
(5)鼠标拖动操作的漏洞
在上述漏洞中,(1)至(3)的“交叉域漏洞”在IE 5.01中严重等级为最高的“紧急”级。只要浏览Web页面和HTML邮件,就可能强制运行任意程序。对于IE 6 SP1 for Windows Server 2003,由于初始设置下不受影响,因此严重等级被定为“警告”级。
如果恶意使用(4)中“XML对象的漏洞”,只需浏览Web页面和HTML邮件,电脑中的文件就可能被人读取。如果恶意使用(5)中“鼠标拖动操作的漏洞”,只需点击Web页和HTML邮件中的链接,就可能将任意程序强制保存在个人电脑中。此时,IE浏览器不显示任何警告。
对策是安装补丁程序。可通过Windows Update安装,也可从微软安全信息页面下载。补丁程序的适用对象为IE 6,IE6 SP1,IE6 SP1 for Windows Server 2003,IE 5.5 SP2,IE 5.01 SP2/SP3/SP4。此次公布的补丁程序包括过去公开的所有IE浏览器补丁程序。
与过去公开的IE浏览器升级程序一样,安装此次公布的补丁程序后,就会使几项HTML帮助功能无法使用。如果像“微软支持技术信息 811630”中记载的那样,从Windows Update安装“811630:重要更新”,补丁程序安装后仍可使用HTML帮助功能。
|
