日本微软2月6日公开了IE浏览器的最新安全漏洞及补丁程序。如果恶意使用此漏洞,仅仅浏览Web页面和HTML邮件,就可能接收并运行含有病毒的恶意程序。其对策是使用“Windows Update”等方法,安装补丁程序。由于其严重等级为“紧急”级,因此Windows用户必须尽快安装补丁程序。
此次公开的安全漏洞有两种,均被称为“交叉域(cross domain)的脆弱性”。
在浏览器中显示不同的站点页面(窗口)时,这些页面被识别为不同的“域”,无法由其中的一个页面访问另一个页所显示的信息。
同样,由于用户的本地文件系统(用户正在使用的个人电脑系统),其域也不同,因此利用浏览器显示的页面无法访问本地文件系统的信息。
而在浏览器中显示相同的站点的不同页面时,页面就会被识别为相同的域,从而就能够通过其中一个页面访问另一个页面的信息。
交叉域的脆弱性是指即使本来是不同的域,也会被识别为相同的域,结果就形成了允许访问不同域的信息的安全漏洞。因此如果访问某些做了手脚的Web页面,或者打开含有某些做过手脚的Web页面链接的HTML页面时,就会由该页面(站点)访问用户的本地文件系统中的信息。
结果,保存在用户个人电脑中的文件就会被人读取或运行。而且还可能接收到任意程序,然后运行该程序。
受此次安全漏洞影响的有IE5.01/5.5/6.0。由于IE5.0以前的版本为非支持对象,因此不知道是否会受到影响。
其对策是安装补丁程序。补丁程序的安装条件是:IE5.01需要安装SP3,IE5.5需要安装SP2。不过,IE5.01方面仅限于在Windows 2000 SP3中使用的情况。IE6方面,安装和不安装SP1时补丁程序不同。所有补丁程序均可以通过“Windows Update”来安装。
另外,此次公开的补丁程序是包含此前公开的所有IE补丁程序的“累积”补丁程序。
此外,使用默认设置下的Outlook Express 6、Outlook 2002以及安装了“Outlook电子邮件安全升级程序”的Outlook 98 和Outlook 2000时,只打开邮件时不会受到恶意使用此安全漏洞的攻击。不过,如果使用了这些邮件软件,又没有安装此次的补丁程序,这时若点击了邮件中的链接,就会受到攻击。
------------------------------- · 相关文档浏览 · --------------------------------------------------------------------- · 热门文档浏览 · -------------------------------------
