荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: michaelx (==GuanShui=M.X), 信区: Security
标 题: Microsoft IE 执行任意文件漏洞
发信站: 荔园晨风BBS站 (Sat Dec 22 11:28:45 2001), 转信
Microsoft IE 执行任意文件漏洞
发布日期: 2001-12-13
更新日期: 2001-12-21
受影响的系统:
Microsoft Internet Explorer 6.0
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP2
- Microsoft Windows 2000 SP1
- Microsoft Windows 2000
不受影响系统:
Microsoft Internet Explorer 5.5
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP2
- Microsoft Windows 2000 SP1
- Microsoft Windows 2000
Microsoft Internet Explorer 5.5SP1
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP2
- Microsoft Windows 2000 SP1
- Microsoft Windows 2000
Microsoft Internet Explorer 5.5SP2
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP2
- Microsoft Windows 2000 SP1
- Microsoft Windows 2000
描述:
----------------------------------------------------------------------------
----
BUGTRAQ ID: 3578
CVE(CAN) ID: CAN-2001-0727
Microsoft IE在处理HTTP头信息时存在安全问题,可能导致执行任意文件。
这是由于IE在HTTP头信息“Content-type”或“Content-disposition”与实际文件类
型冲突时以前者为准造成的。如果攻击者以某种方式修改了HTML报头,IE就可能将一个
可执行文件当成另外一种可能根本无须确认就可以直接打开的文件类型。这样攻击者就
可以创建一个畸形的HTML邮件,邮件一旦打开,就可以在用户系统中自动运行可执行文
件。
<*来源:Jouko Pynnonen(jouko@solutions.fi)
链接:http://archives.neohapsis.com/archives/bugtraq/2001-12/0143.html
http://www.microsoft.com/technet/security/bulletin/MS01-058.asp
http://www.cert.org/advisories/CA-2001-36.html
*>
----------------------------------------------------------------------------
----
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 暂时换用其它浏览器,如Opera等。
* 在IE浏览器中禁止文件下载功能。
厂商补丁:
Microsoft
---------
微软已经为此发布了一个安全公告(MS01-058)以及相应补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS01-058.asp
补丁下载:
Microsoft Internet Explorer 5.5 and 6.0:
http://www.microsoft.com/windows/ie/downloads/critical/Q313675/default.asp
--
M.X的FTP SERVER
ftp://192.168.55.18
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 203.93.19.1]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店