|
4月12日,微软安全中心发布了2005年4月漏洞安全公告:MS05-020危害等级为“严重”,请广大用户尽快到微软官方网站下载微软最新补丁。
编号:MS05-020
名称:Internet Explorer 的累积性安全更新
KB编号:890923
等级:严重
DHTML 对象内存损坏漏洞描述:
Internet Explorer 由于其处理某些 DHTML 对象的方式而存在一个远程执行代码漏洞。 攻击者可以通过构建恶意的网页来利用该漏洞。 如果某个用户访问了恶意网站,此恶意网页就可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
URL 分析内存损坏漏洞描述:
Internet Explorer 由于其处理某些 URL 的方式而存在一个远程执行代码漏洞。 攻击者可以通过构建恶意的网页来利用该漏洞。 如果某个用户访问了恶意网站,此恶意网页就可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
分级审查内存损坏漏洞描述:
Internet Explorer 由于其处理分级审查文件的方法而存在一个远程执行代码漏洞。 攻击者可以通过构造特制的分级审查文件来利用此漏洞。 如果用户访问了恶意网站或查看了恶意的电子邮件,并接受安装此恶意分级审查文件,则该文件可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 不过,要利用此漏洞,需要进行大量用户交互。
我们建议用户立即安装此更新。
受影响的软件:
· Microsoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4
· Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2
· Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
· Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
· Microsoft Windows Server 2003
· Microsoft Windows Server 2003(用于基于 Itanium 的系统)
· Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE) 和 Microsoft Windows Millennium Edition (ME) 测试过的 Microsoft Windows 组件:
受影响的组件:
· Microsoft Windows 2000 Service Pack 3 上的 Internet Explorer 5.01 Service Pack 3 –
下载此更新
· 用于 Microsoft Windows 2000 Service Pack 4 的 Internet Explorer 5.01 Service Pack 4
– 下载此更新
· Windows Millennium Edition 上的 Internet Explorer 5.5 Service Pack 2 – 有关此版本的
详细信息,请查看本公告的“常见问题解答”部分。
· Microsoft Windows 2000 Service Pack 3、Microsoft Windows 2000 Service Pack 4 或
Microsoft Windows XP Service Pack 1 中的 Internet Explorer 6 Service Pack 1 –
下载此更新
· Microsoft Windows 98、Microsoft Windows 98 SE 或 Microsoft Windows Millennium Edition
上的 Internet Explorer 6 Service Pack 1 – 有关此版本的详细信息,请查看本公告的“常
见问题解答”部分。
· 用于 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) 的 Internet
Explorer 6 Service Pack 1 – 下载此更新
· 用于 Microsoft Windows Server 2003 的 Internet Explorer 6 – 下载此更新
· 用于基于 Itanium 的系统的 Microsoft Windows Server 2003 和 Microsoft Windows XP 64
Bit Edition Version 2003 (Itanium) 的 Internet Explorer 6 – 下载此更新
· 用于 Microsoft Windows XP Service Pack 2 的 Internet Explorer 6 – 下载此更新
不受影响的软件:
· Microsoft Windows Server 2003 Service Pack 1
· Microsoft Windows Server 2003 with SP1(用于基于 Itanium 的系统)
· Microsoft Windows Server 2003 x64 Edition
· Microsoft Windows XP Professional x64 Edition
严重等级和漏洞标识:
| 漏洞标识 |
漏洞的影响 |
Internet
Explorer 5.01
Service Pack 3
Service Pack 4 |
Windows ME上的 Internet Explorer 5.5 Service Pack 2 |
Internet Explorer 6 Service Pack 1 |
Internet Explorer 6 for Windows Server 2003 |
用于 Windows XP Service Pack 2 的 Internet Explorer 6 |
DHTML 对象内存损坏漏洞 -
CAN-2005-0553
|
远程执行代码
|
严重
|
严重
|
严重 |
重要 |
严重 |
URL 分析内存损坏漏洞 - CAN-2005-0554 |
远程执行代码 |
严重 |
严重 |
严重 |
严重 |
严重 |
分级审查内存损坏漏洞 - CAN-2005-0555 |
远程执行代码 |
中等 |
中等 |
中等 |
中等 |
中等 |
| 所有漏洞综合严重程度 |
| 严重 |
严重 |
严重 |
严重 |
严重 |
减轻影响的方式:
DHTML 对象内存损坏漏洞 :
· 在基于 Web 的攻击中,攻击者必须拥有一个网站,并在上面放置用来利用此漏洞的网页。
攻击者也可能尝试攻击一个网站,以使其显示恶意内容。 攻击者无法强迫用户访问网站。
相反,攻击者必须劝诱用户访问该网站,通常是让用户单击通向攻击者站点或攻击者构建
的站点的链接。
· 成功利用此漏洞的攻击者可以获得与本地用户相同的权限。 那些帐户被配置为拥有较少系统用户
权限的用户比具有管理用户权限的用户受到的影响要小。
· 默认情况下,Outlook Express 6、Outlook 2002 和 Outlook 2003 在“受限制的站点”区域中
打开 HTML 电子邮件。 此外,如果已经安装 Outlook 电子邮件安全更新 ,Outlook 2000 将在
“受限制的站点”区域中打开 HTML 电子邮件消息。 如果已经安装了 Microsoft 安全公告
MS04-018 ,Outlook Express 5.5 Service Pack 2 将在“受限制的站点”区域打开 HTML 电子
邮件消息。 “受限制的站点”区域可以减少利用此漏洞的攻击企图。
如果满足以下所有条件,就会大大降低受到 HTML 电子邮件媒介攻击的威胁:
·应用 Microsoft 安全公告 MS03-040 或更高版本的 Internet Explorer 累积安全更新中包
含的更新。
·在其默认配置中使用 Microsoft Outlook Express 6 或更高版本。
·其默认配置中使用 Microsoft Outlook 2000 Service Pack 2 或更高版本。
· 不会通过电子邮件自动利用此漏洞。 用户必须打开电子邮件中附件或单击电子邮件中的链接,这
样攻击才会得逞。
· 默认情况下,Windows Server 2003 上的 Internet Explorer 在一种称为“ 增强安全配置 ”的
受限模式下运行。 此模式可减轻此漏洞。 有关 Internet Explorer 增强安全配置的详细信息,
请参阅此漏洞的“常见问题解答”部分。
URL 分析内存损坏漏洞
:
· 在基于 Web 的攻击中,攻击者必须拥有一个网站,并在上面放置用来利用此漏洞的网页。攻击者
也可能尝试攻击一个网站,以使其显示恶意内容。 攻击者无法强迫用户访问网站。 相反,攻击
者必须劝诱用户访问该网站,通常是让用户单击通向攻击者站点或攻击者构建的站点的链接。
· 成功利用此漏洞的攻击者可以获得与本地用户相同的权限。 那些帐户被配置为拥有较少系统用户
权限的用户比具有管理用户权限的用户受到的影响要小。
· 默认情况下,Outlook Express 6、Outlook 2002 和 Outlook 2003 在“受限制的站点”区域中
打开 HTML 电子邮件。 此外,如果已经安装 Outlook 电子邮件安全更新 ,Outlook 2000 将在
“受限制的站点”区域中打开 HTML 电子邮件消息。 如果已经安装了 Microsoft 安全公告
MS04-018 ,Outlook Express 5.5 Service Pack 2 将在“受限制的站点”区域打开 HTML 电子
邮件消息。 “受限制的站点”区域可以减少利用此漏洞的攻击企图。
如果满足以下所有条件,就会大大降低受到 HTML 电子邮件媒介攻击的威胁:
·应用 Microsoft 安全公告 MS03-040 或更高版本的 Internet Explorer 累积安全更新中包
含的更新。
·在其默认配置中使用 Microsoft Outlook Express 6 或更高版本。
·其默认配置中使用 Microsoft Outlook 2000 Service Pack 2 或更高版本。
· 不会通过电子邮件自动利用此漏洞。 用户必须单击电子邮件中的恶意链接,以电子邮件为载体的
攻击才会得逞。
URL 分级审查内存损坏漏洞 :
·在基于 Web 的攻击中,攻击者必须拥有一个网站,并在上面放置用来利用此漏洞的网页。攻击
者也可能尝试攻击一个网站,以使其显示恶意内容。 攻击者无法强迫用户访问网站。 相反,攻
击者必须劝诱用户访问该网站,通常是让用户单击通向攻击者站点或攻击者构建的站点的链接。
用户然后必须点击通过一系列“分级审查”安装窗口,攻击才能得逞。
·成功利用此漏洞的攻击者可以获得与本地用户相同的权限。 那些帐户被配置为拥有较少系统用户
权限的用户比具有管理用户权限的用户受到的影响要小。
·默认情况下,Outlook Express 6、Outlook 2002 和 Outlook 2003 在“受限制的站点”区域中
打开 HTML 电子邮件。 此外,如果已经安装 Outlook 电子邮件安全更新 ,Outlook 2000 将在
“受限制的站点”区域中打开 HTML 电子邮件消息。 如果已经安装了 Microsoft 安全公告
MS04-018 ,Outlook Express 5.5 Service Pack 2 将在“受限制的站点”区域打开 HTML 电子
邮件消息。 “受限制的站点”区域可以减少利用此漏洞的攻击企图。
如果满足以下所有条件,就会大大降低受到 HTML 电子邮件媒介攻击的威胁:
·应用 Microsoft 安全公告 MS03-040 或更高版本的 Internet Explorer 累积安全更新中包
含的更新。
·在其默认配置中使用 Microsoft Outlook Express 6 或更高版本。
·其默认配置中使用 Microsoft Outlook 2000 Service Pack 2 或更高版本。
·不会通过电子邮件自动利用此漏洞。 用户必须打开通过电子邮件发送的附件,并点击通过一系列
“分级审查”安装窗口,攻击才会得逞。
|
