1月11日，微软安全中心发布了2005年1月漏洞安全公告：MS05-001危害等级为“严重”，请广大用户尽快到微软官方网站下载微软最新补丁。

编号：MS05-001
名称：HTML 帮助中的漏洞可能允许执行代码
KB编号：890175
等级：严重

HTML 帮助 ActiveX 控件跨域漏洞描述：

　　此更新可消除一个公开报告的新发现漏洞。 Windows 的 HTML 帮助 ActiveX 控件中存在漏洞，因而可能导致信息泄露甚至在受影响的系统上远程执行代码。 本公告的“漏洞详细资料”部分中对此漏洞进行了说明。

　　如果用户使用管理权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户。 帐户配置系统权限较少的用户比具有管理权限的用户受到的威胁要小。

　　我们建议用户立即安装此更新。

受影响的软件：

· Microsoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4 – 下载此更新
· Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2 – 下载此更新
· Microsoft Windows XP 64-Bit Edition Service Pack 1 –下载此更新[英文]
· Microsoft Windows XP 64-Bit Edition Version 2003－下载此更新[英文]
· Microsoft Windows Server 2003 – 下载此更新
· Microsoft Windows Server 2003 64-Bit Edition– 下载此更新 [英文]

不受影响的软件：

· Microsoft Windows NT Server 4.0 Service Pack 6a
· Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack

严重等级和漏洞标识：

减轻影响的方式：

HTML 帮助 ActiveX 控件跨域漏洞：
· 在基于 Web 的攻击情形中，攻击者必须拥有一个网站，而该站点包含用于利用此漏洞的网页（攻
　 击者还可以尝试构建一个网站并且通过它来提供带有恶意内容的网页，进而尝试利用此漏洞。）。 攻击者无法强迫用户访问网站。 相反，攻击者必须劝诱用户访问该网站，通常是让用户单击通向
　 攻击者站点或攻击者构建的站点的链接。

· 试图在正在运行 Windows XP Service Pack 2 或 Windows Server 2003 的系统中利用此漏洞，
　很可能导致否定服务条件。

· 默认情况下，Outlook Express 6、Outlook 2002 和 Outlook 2003 在“受限制的站点”区域中　 打开 HTML 电子邮件。 此外，如果已经安装 Outlook 电子邮件安全更新，Outlook 2000 将在“
　 受限制的站点”区域中打开 HTML 电子邮件消息。 如果已经安装了 Microsoft 安全公告 MS04-
　 018，Outlook Express 5.5 Service Pack 2 将在“受限制的站点”区域打开 HTML 电子邮件消
　 息。 “受限制的站点”区域可以减少利用此漏洞的攻击企图。

如果满足以下所有条件，就会大大降低受到 HTML 电子邮件媒介攻击的威胁：
　·安装 Microsoft 安全公告 MS03-040 或更高版本的 Internet Explorer 累积性安全更新中包含
　　的更新。
　·使用 Microsoft Outlook 2000，并已安装 Microsoft Outlook 电子邮件安全更新。
　·在其默认配置中使用 Microsoft Outlook Express 6 或更高版本或者 Microsoft Outlook 2000
　　Service Pack 2 或更高版本。

·默认情况下，Windows Server 2003 上的 Internet Explorer 在一种称为“增强安全配置”的受
　限模式下运行。 此模式可减轻此漏洞。