您所在的位置： 首页 全球要闻 国内要闻	来源:日经BP社 日期: 2003-04-28
IE和Outlook Express发现“紧急”漏洞！
日本微软4月24日宣布，在Internet Explorer（IE）及Outlook Express中分别发现了严重的安全漏洞。如果浏览被做过手脚的网页与HTML邮件，可能会在用户的机器上运行任意代码。对策是安装补丁程序。可通过“Windows Update”安装。此次发现的漏洞的危险程度均为最严重的“紧急”，建议立即采取措施。两种漏洞的补丁都是包含以往补丁的累积补丁。 IE存在4种漏洞 　　此次公开的IE漏洞有以下4种： （1）与Web服务器通信的“URLMON.DLL”的缓冲区溢出 （2）文件上传控制的漏洞 （3）有关第三方文件处理的漏洞 （4）在处理模态对话框（Modal Dialog）的方法中存在漏洞 　　用户如果访问恶意使用（1）的网页，会在IE组件之一的URLMON.DLL上引起缓冲区溢出，可能导致运行任意代码（程序）。如果访问恶意使用（2）与（4）的网页，用户机器内的文件可能会被读取（上传）。 　　如果访问恶意使用（3）的网页，可能会运行任意脚本。此时，即使这一网页的Web站点是“互联网区域”，也会在安全等级最低的“本地计算机区域”运行。而且，所有的安全漏洞都可以通过HTML邮件恶意使用。 　　在危险程度方面，（1）、（3）、（4）为最严重的“紧急”，（2）为第二严重的“重要”（不过微软的资料上将其定为第三位（倒数第二位）的“中等”）。 　　受影响的是IE 5.01 SP3（Windows 2000版）／IE 5.5／IE 6／IE 6 SP1。不过，除此之外的版本不属于维护的对象，是否存在漏洞尚不得而知。 　　对策是安装补丁。既可以从日本微软网站下载，也可以通过Windows Update安装。需要注意的是，IE 5.01 SP3补丁只适用于Windows 2000、IE 6补丁只适合Windows XP的机器。此次公开的补丁是包括以往所有补丁在内的累积补丁。 Outlook Express的MHTML处理器中存在漏洞 　　Outlook Express的漏洞，与“MHTML的URL处理器”有关。如果点击嵌在网页及HTML邮件中的某一特定链接，就可能在“本地计算机区域”运行恶意脚本。 　　MHTML是将贴有图像等的HTML内容（网页）作为一个文件来处理的格式。使用MHTML，可将包括多个图像等的整个网页作为一封HTML邮件发送出去。 　　URL处理器是可以通过网页等启动某一应用的功能。比如，在系统里安装了Outlook 2002之后，Outlook 2002就被登记为URL处理器“outlook://”。利用这一URL处理器，点击链接后就会启动Outlook 2002。此次出现问题的URL处理器是“MHTML://”，用于Outlook Express。 　　“MHTML://”指定的文件，无论是什么样的文件形式，都会被当做HTML文件来处理。这正是问题所在。比如，如果用MHTML://指定纪录脚本的文本文件（.txt），就会运行这一脚本。并且，即使嵌入“MHTML://”链接的网页是“互联网区域”，也会在安全级别最低的“本地计算机区域”运行。 　　不过，能够恶意使用此次漏洞的，仅限于启动用户机器中已存在的脚本文件。如果已经安装了以前公开的“MS03-004”补丁（以及包括“MS03-004”在内的“MS03-015”补丁），就不会收到并运行任何脚本文件。 　　已确认发现漏洞的是Outlook Express 5.5及6.0／6.0 SP1。不过，以前的版本是否也存在漏洞还没有得到证实。 　　对策是安装补丁，可以通过Windows Update安装，也可以从日本微软的网站下载。Outlook Express 6.0用的补丁只适用于Windows XP（未安装SP1的环境）。另外，此次的补丁中，包括过去公开的“MS02-058 : Outlook Express S/MIME 剖析中未选取的缓冲区,可能致使系统出现安全缺失 (Q328676) ”。 　　如果安装了补丁，除与MHTML格式有关的“.MHT”或“.MHTML”之外，其他文件将无法通过“MHTML://”调出。 　　另外，即使不把Outlook Express当成邮件程序使用，但只要将其装入机器，计算机就会受到漏洞的影响。
关键词:

上一页 [ 1 2 3 4 5] 下一页