|
2月8日,微软安全中心发布了2月漏洞安全公告:MS05-013危害等级为“严重”,请广大用户尽快到微软官方网站下载微软最新补丁。
编号:MS05-013
名称:DHTML 编辑组件 ActiveX 控件中的安全漏洞可能允许执行代码
KB编号:891781
等级:严重
安全更新替代:无
漏洞描述:
Microsoft Dynamic HTML (DHTML) 编辑组件 ActiveX 控件中存在跨域漏洞,因而可能导致信息泄露或在受影响的系统上远程执行代码。 攻击者可以通过建立恶意网页来利用此漏洞,如果用户访问该页面,即有可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
受影响的软件:
• Microsoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4 – 下载此更新
• Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2 – 下载此更新
• Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) – 下载此更新
• Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) – 下载此更新
• Microsoft Windows Server 2003 – 下载此更新
• Microsoft Windows Server 2003(用于基于 Itanium 的系统)– 下载此更新
• Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE)、Microsoft Windows Millennium Edition (ME)
严重等级和漏洞标识:
| 漏洞标识 |
漏洞的影响 |
Windows98、98 SE、ME |
Windows 2000 |
Windows XP |
Windows XP Service Pack 2 |
Windows Server 2003 |
| DHTML 编辑组件 ActiveX 控件跨域漏洞 (CAN-2004-1319) |
远程执行代码
|
严重 |
严重 |
严重 |
重要 |
中等 |
减轻影响的方式:
• 在基于 Web 的攻击中,攻击者必须拥有一个网站,并在上面放置用来利用此漏洞的网页。 攻击者还可能尝试构建一个网站并且通过它来显示带有恶意内容的网页。 攻击者无法强迫用户访问网站。 相反,攻击者必须劝诱用户访问该网站,通常是让用户单击通向攻击者站点或攻击者构建的站点的链接。
• 成功利用此漏洞的攻击者可以获得与本地用户相同的权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
• 默认情况下,Microsoft Outlook Express 6、Outlook 2002 和 Outlook 2003 在“受限制的站点”区域中打开 HTML 电子邮件。 如果已经安装了 Microsoft 安全公告 MS04-018,Outlook Express 5.5 Service Pack 2 将在“受限制的站点”区域打开 HTML 电子邮件消息。 “受限制的站点”区域可以减少利用此漏洞的攻击企图。
如果满足以下所有条件,就会大大降低受到 HTML 电子邮件媒介攻击的威胁:
• 安装 Microsoft 安全公告 MS03-040 或更高版本的 Internet Explorer 累积性安全更新中包含的更新。
• 在其默认配置中使用 Microsoft Outlook Express 6 或更高版本,或者使用 Microsoft Outlook 2000 Service Pack 2 或更高版本。
• 默认情况下,Windows Server 2003 上的 Internet Explorer 在一种称为“增强安全配置”的受限模式下运行。 此模式可减轻此漏洞。 有关 Internet Explorer 增强安全配置的详细信息,请参阅此安全更新的“常见问题解答”部分。
• Windows XP Service Pack 2 引入了一种被称为本地计算机区域锁定的安全增强措施, 可减轻此漏洞的影响。 有关本地计算机区域锁定的详细信息,请参阅此安全更新的“常见问题解答”部分。 |
