美国当地时间2月21日，美国微软公开了Internet Explorer（IE）等软件中存在的2种安全漏洞，这2种漏洞有可能导致个人电脑中的文件被来自外部的入侵者盗取。其一是以IE 6、Windows XP和SQL Server 2000为对象的安全漏洞，可以通过变更IE的设置来解决。再一个就是以IE 5.01/5.5/6为对象的漏洞。上述两漏洞的“严重程度”均为“高（Critical）”。但上述漏洞不会引起文件被删除或内容被变更。

　　第一个安全漏洞名为“MS02-008：XMLHTTP Control Can Allow Access to Local Files”。日本微软也公开了日语版的简报。当用户浏览被安装了特定脚本的Web页时，个人电脑内的任意文件均有被窃取的危险。但使用HTML邮件时，这一安全漏洞不会被恶意使用。

　　原因是处理XML文件的“Microsoft XML Core Services（MSXML）”中包含的“XMLHTTP”ActiveX控件存在问题。该漏洞有可能接收Web服务器向控件发来的本应被拒绝的请求，并发送文件内容。

　　其实，要想读出文件内容，必须知道该文件所在的位置（路径）。但大部分的文件都位于缺省位置，因此该漏洞的威胁并不会因此而减小。

　　用户需要通过变更IE设置来解决这一问题。具体来说，就是将IE的“因特网区域”的“安全设置”中的“即使执行脚本也只执行被标志为安全Active控件的脚本”设为“无效”。

　　另一个漏洞名为“MS02-009：Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files”。原因在于VBScript的处理中存在缺陷。当浏览被安装了特定脚本的Web页或HTML邮件时，个人电脑中的文件或于其它Web页中输入的信息存在着被窃取的危险。

　　在日本微软公开的信息简报页面上准备有IE 5.01/5.5/6用的补丁，建议IE用户尽快下载使用。尽管“Windows Update”中也以“Security Update, February 14, 2002”的形式提供有补丁，但如果为了对付“MS02-008”而改变IE的设置的话，Windows Update就会无法使用。