安全公告CN-SA05-13 发布日期：2005-07-06 安全等级：/upload/p1_23xs25.jpg 公开程度：公共 　　近日，CNCERT/CC注意到一个存在于微软IE浏览器“javaprxy.dll”中的漏洞被发现，攻击者能够利用该漏洞引起用户浏览器崩溃，并执行任意代码。微软已证实了该漏洞的存在，并正在研究解决办法，迄今为止，尚未提供补丁。 　　具体来说，远程攻击者可以构建一个伪造的HTML网页，当用户下载网页，将会触发“javaprxy.dll”堆溢出，从而造成用户浏览器崩溃。而特别构造的对象标记会引起某些COM组件崩溃。 　　之后，法国安全事件响应组（FrSIRT）针对该漏洞提供了验证代码，进一步证实了该漏洞的存在及被利用的可能性。从某种意义上讲，修改相关测试代码并投入实用并不是很烦琐。所以，CNCERT/CC估计，利用该漏洞的恶意代码将会出现。安天实验室也认为，由于测试代码很容易修改，预计会出现相关的蠕虫在网上传播，并提醒用户注意不要点击近日邮件蠕虫携带的恶意URL连接。 　　CNCERT/CC在此提醒您，如果发现或遇到与此漏洞利用相关的可疑情况，请及时向我们报告。 受影响版本： Internet Explorer 5.01 Service Pack 3 on Microsoft Windows 2000 Service Pack 3 Internet Explorer 5.01 Service Pack 4 on Microsoft Windows 2000 Service Pack 4 Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 3 Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4 Internet Explorer 6 Service Pack 1 on Microsoft Windows XP Service Pack 1 Internet Explorer 6 for Microsoft Windows XP Service Pack 2 Internet Explorer 6 Service Pack 1 for Microsoft Windows XP 64-Bit SP1 (Itanium) Internet Explorer 6 for Microsoft Windows Server 2003 Internet Explorer 6 for Microsoft Windows Server 2003 Service Pack 1 Internet Explorer 6 for Microsoft Windows Server 2003 for Itanium-based Systems Internet Explorer 6 for Microsoft Windows Server 2003 with SP1 for Itanium Internet Explorer 6 for Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition Internet Explorer 5.5 Service Pack 2 on Microsoft Windows Millennium Edition Internet Explorer 6 Service Pack 1 on Microsoft Windows 98 Internet Explorer 6 Service Pack 1 on Microsoft Windows 98 SE Internet Explorer 6 Service Pack 1 on Microsoft Windows Millennium Edition 解决方案： 　　由于尚未提供补丁，厂商建议将Internet和本地Intranet安全域设置为“高”安全级别。CNCERT/CC建议在补丁发布之前可以考虑使用别的浏览器。 参考信息： http://www.microsoft.com/technet/security/advisory/903144.mspx　　http://www.frsirt.com/exploits/20050702.iejavaprxyexploit.pl.php 其他信息： 　　CVE编号：CAN-2005-2087　 　　首次发布日期：2005-07-06 　　修订次数：0 安全公告文档编写： 　　CNCERT/CC ----------------------------------------------------------------------------------- 　　CNCERT/CC在发布安全公告信息之前，都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。 　　在任何情况下，如果您确信您的计算机系统受到危害或是攻击，我们鼓励您及时告知国家计算机网络应急技术处理协调中心：http://www.cert.org.cn/servlet/Incident 　　同时，我们也鼓励所有计算机与网络安全研究机构，包括厂商和科研院所，向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站公布漏洞信息及指导受影响用户采取措施以避免损失。 　　如果您发现本公告存在任何问题，请与我们联系：cncert@cert.org.cn