> 四个安全漏洞已经在世界上大部分最常用的网络浏览器上都已发现并修补了,微软警告说,现在被攻击的可能性已经达到了一个危机的程度。
公司警告说,如果用户浏览一个有害的网址,或者打开一个经过精心编写的特殊的HTML email信息。微软的旗舰产品IE浏览器允许一个攻击者在客户上执行任意一段代码。
公司还警告说,如果有一天在Outlook express邮件客户端信箱上发现致命漏洞的话,公司将发布一些积存的针对于IE5.01到6.0,还有以前浏览器补丁。
首先第一个缺陷,在URLMON.DLL文件调用缓冲区过载是容易受到攻击,因为浏览器没有正确的检查从服务器接收到的各种信息参数,这就为攻击者留下了一个后门,他们可以引诱一些容易影响的用户访问他们的网址而控制用户的系统。
微软说在IE文件上载部分有一个漏洞,他可以使一个攻击者提供一个文件名给IE文件上载控制系统,而且自动从客户系统中上载这个文件到网络服务器。
微软还说浏览器还存在一个问题是它能处理第三方提供的文件,因为IE处理第三方的文件时没有完全的检查他的参数,这使它容易受到攻击。一个攻击者可以产生一个特殊的URL链接,然后在这个网址给客户传送第三方文件的时候插入一段脚本程序,这段程序能够使客户的安全受到威胁。
最后一个漏洞是IE的对话框模式,这使攻击者能够获得用户电脑的文件存储系统的入口。
除了改正这四个漏洞外,微软说这些补丁还包括IE 6.0 SP1的一个修正,它能使浏览器在当地电脑用户区域显示帮助信息。
这个补丁还能中断Plugin.ocx ActiveX控件,因为这个控件容易受到安全攻击。
微软还警告说如果用户没有HTML帮助的更新的话,这个补丁将使window.showHelp( )中断他的功能。如果你已经从第811830号文章中安装了更新的HTML帮助功能,而且安装了补丁的话,你仍然能够使用这个功能。
另外,这个软件很大的一个功劳是堵住了Outlook Express 5.5-6.0最大的一个安全漏洞,这个漏洞能使一个入侵者能够接管用户的机器。
为了找到他的弱点,攻击者必须使windows打开一个特殊的MHTML URL链接,这个链接要么是一个网址,要么是包含一段HTML代码的email信息。
(赛迪网)
Tags:
责任编辑:小黑游戏