2月8日，微软安全中心发布了2月漏洞安全公告：MS05-008危害等级为“重要”，请广大用户尽快到微软官方网站下载微软最新补丁。

编号：MS05-008
名称：Windows Shell 中的漏洞可能允许远程执行代码
KB编号：890047
等级：重要
安全更新替代：无

漏洞描述：
Windows 存在一个权限提升漏洞，原因在于其处理拖放事件的方式。 攻击者可以通过构建恶意的网页来利用该漏洞。 如果用户访问恶意网站或查看恶意电子邮件，此恶意网页可能会使攻击者可以在用户系统上保存文件。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 不过，要利用此漏洞，需要进行用户交互。

受影响的软件：
• Microsoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4–下载此更新
• Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2–下载此更新
• Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) – 下载此更新
• Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) – 下载此更新
• Microsoft Windows Server 2003 – 下载此更新
• Microsoft Windows Server 2003（用于基于 Itanium 的系统）– 下载此更新
• Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE)、Microsoft Windows 　Millennium Edition (ME)

严重等级和漏洞标识：

漏洞标识	漏洞的影响	Windows 98、98 SE、ME	Windows 2000	Windows XP	Windows Server 2003
拖放操作漏洞 (CAN-2005-0053)	远程执行代码	不严重	重要	重要	中等

减轻影响的方式：

• 在基于 Web 的攻击中，攻击者必须拥有一个网站，并在上面放置用来利用此漏洞的网页。 攻击者还可能尝试构建一个网站并且通过它来显示带有恶意内容的网页。 攻击者无法强迫用户访问网站。 相反，攻击者必须劝诱用户访问该网站，通常是让用户单击通向攻击者站点或攻击者构建的站点的链接。

• 此漏洞允许攻击者将恶意代码放在用户系统中的特定位置。 攻击仅在用户运行此代码之后才会发生，运行方式可能是通过重新启动、通过注销然后重新登录至系统或者无意间运行攻击者保存在本地机器上的代码。

• 成功利用此漏洞的攻击者可以获得与本地用户相同的权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
• 默认情况下，Microsoft Outlook Express 6、Outlook 2002 和 Outlook 2003 在“受限制的站点”区域中打开 HTML 电子邮件。 如果已经安装了 Microsoft 安全公告 MS04-018，Outlook Express 5.5 Service Pack 2 将在“受限制的站点”区域打开 HTML 电子邮件消息。 “受限制的站点”区域可以减少利用此漏洞的攻击企图。

如果满足以下所有条件，就会大大降低受到 HTML 电子邮件媒介攻击的威胁：

• 安装 Microsoft 安全公告 MS03-040 或更高版本的 Internet Explorer 累积性安全更新中包含的更新。

• 在其默认配置中使用 Microsoft Outlook Express 6 或更高版本，或者使用 Microsoft Outlook 2000 Service Pack 2 或更高版本。

• 默认情况下，Windows Server 2003 上的 Internet Explorer 在一种称为“增强安全配置”的受限模式下运行。 此模式可减轻此漏洞。