| | | 微软公布IE新补丁,仍有漏洞堵不住 | | 2002-04-01·
· ··日经BP社
| 美国当地时间3月28日,微软宣布在Internet Explorer(IE)中发现两种安全漏洞,并公开了相关的补丁程序。如有人恶意利用该安全漏洞,将可以任意运行嵌入Cookie中的脚本及用户电脑中的程序。这两种安全漏洞合起来的严重程度为“高(Critical)”。日语版的补丁也已经公布,IE5.01/5.5/6.0的用户应尽快使用。但是,此次公布的补丁依然未能完全堵住安全漏洞。对于该漏洞,同以前一样需要采取改变设置等方法进行处理。
微软此次公布的安全漏洞有2种。一种与嵌入Cookie中的脚本有关。当用户终端运行Cookie中的脚本时,应该对发送该Cookie的Web站点的区域(一般为因特网区域)进行安全设置。
但是实际上,Cookie的脚本会同普通的程序(脚本)在相同区域(本地计算机区域)执行。也就是说,即使IE的设置再严密,这种脚本也可能会被人非法运行。
怀有恶意的站点管理者先向用户发送嵌入有脚本的Cookie,之后用记载在Web页上的脚本执行Cookie中的脚本,便能够恶意使用这种安全漏洞。会受这种安全漏洞影响的是IE5.5和IE6。严重程度为“高(Critical)”。
另外一种是与对象标记的处理有关的安全漏洞。如果有人恶意使用这种安全漏洞,就能够运行用户机器上的任何程序。
但是,攻击者需要事先知道想运行的程序的正确位置和名称。另外,攻击者不能向程序发送参数。据微软称,在默认的Windows系统中,如果没有参数则不会有什么程序能够控制终端。
受到这种安全漏洞影响的是IE5.01/5.5/6。严重程度为“中(Moderate)”。
作为其对策,请务必使用微软公布的补丁。日语版的补丁也已经公布。可下载补丁的页面虽为英语,但用户只需在“SelectLanguage”选项中选择“Japanese”即可。
使用补丁时应注意:IE5.5应使用SP1或SP2,IE5.01应使用SP2,OS为Windows2000或者WindowsNT。另外,本次公布的补丁中包括此前IE的累积补丁“MS02-005”。
但是,即使使用本次公布的补丁,依然存在难以防范的安全漏洞。据公布的安全漏洞的内容及报道中的“Acknowledgments(致歉词)”中称,仍然难以防范除微软公司公布的以外的安全漏洞。因此,提醒IE用户不要将安全设置改回默认的设置,仍需要保持同此前一样的设置。 | | | 感谢
访问天极网,如果您觉得该文章涉及版权问题,请看这里!
|
|
