MS03-048公告发布的是一个IE补丁集,这个补丁综合了IE5.01,5.5,6.0以前所有的补丁,此外,还弥补了新发现的5个IE漏洞:
IE跨域安全模型存在三个安全漏洞。IE跨域安全模型用来实现不同域间的信息共享。攻击者会构建恶意网页诱使用户访问,或者创建恶意的Html邮件欺骗用户阅读,达到漏洞利用的目的。一旦攻击者利用漏洞成功,他能获得用户系统信息,并以用户权限在目标机器上执行script 。
IE的zone information 传递到XML时存在安全漏洞。攻击者会构建恶意网页诱使用户访问,或者创建恶意的Html邮件欺骗用户阅读,达到漏洞利用的目的。一旦用户访问了恶意网页或email,用户会被提示下载html文件,如果如果下载html文件,共计者将能够读取目标机器的文件。
IE中DHTML的drag-and-drop操作时存在安全漏洞。攻击者会构建含恶意链接的网页诱使用户访问,或者创建含恶意链接的Html邮件欺骗用户阅读,达到漏洞利用的目的。一旦用户点击了该恶意链接,攻击者构建的恶意代码将自动保存到目标机器的特定位置上。
漏洞等级
| IE 5.01 SP2, SP3, SP4 | IE 5.5 SP2 | IE 6 and IE 6 SP1 (Windows Server 2003以前版本) | IE 6 SP1 for Windows Server 2003 | IE 6 SP1 for Windows Server 2003 (64-Bit) | |
|---|---|---|---|---|---|
| Cross-Domain | 危急 | 危急 | 危急 | 中等 | 中等 |
| XML Object | 无影响 | 中等 | 中等 | 低 | 低 |
| Drag-and-Drop | 重要 | 重要 | 重要 | 中等 | 中等 |
| 综合程度 | 危急 | 危急 | 危急 | 中等 | 中等 |
修订版本: V1.0 (2003年11月11日):公告创建
关注此文的读者还看过:
