2002年05月17日20:27:10 赛迪网
日本微软于5月16日 公布了可能影响到Internet Explorer(IE)5.01/5.5/6的6种新安全漏洞。如果恶意使用这些严重的安全漏洞,那么只浏览Web页面及HTML邮件就有可能被运行带有恶意的脚本及程序。目前日文版补丁已经公开。
此次新公开的安全漏洞如下:
(1)通过Cross-site Scripting,在本地计算机区域运行脚本
(2)读取本地计算机上的文件
(3)窃取Cookie信息
(4)执行任意脚本及文件
(5)躲避IE区域识别,在企业内网区域或用户信赖的区域运行脚本
由于(5)包括2种安全漏洞,因此等于是公布了共计6种安全漏洞。根据IE版本的不同,可能有的版本不会受到一些安全漏洞的影响。但是,如果考虑到此次公开的所有的安全漏洞在每个版本的严重度均为“高(Critical)”这一情况,因此使用补丁程序是必不可少的。
另外,从各自的严重度来看,(1)至(3)为“高”、(4)为“中”、(5)为“低”。关于(5),因为只有在攻击者的Web站点与用户设备之间能够进行NetBIOS通信的情况下才能恶意使用安全漏洞,因此从远程受到攻击的可能性很低。另外,(4)的严重度虽为“中”,但可以认为这是个一个严重度很高的安全漏洞。
据美国微软发布的信息,(4)的安全漏洞是过去公布的安全漏洞“MS01-058”的“变种”。也就是说,在存在安全漏洞的IE上,仅仅打开Web页面及HTML邮件(预览),就有可能被轻松执行某指定文件。这是一种有可能会出现恶意使用安全漏洞的病毒(蠕虫)的严重安全漏洞。
从微软的信息来看,由于只对特定的用户环境存在攻击的可能性,因此将(4)的危险度定在了“中”。即只有安装某种特定软件的用户才会受到影响。但微软并没有明确公开“何种软件将受到影响”及“多少用户安装了这一软件”等信息。因此用户最好采取相应对策,以防受害。
日本微软于5月16日 公布了可能影响到Internet Explorer(IE)5.01/5.5/6的6种新安全漏洞。如果恶意使用这些严重的安全漏洞,那么只浏览Web页面及HTML邮件就有可能被运行带有恶意的脚本及程序。目前日文版补丁已经公开。
此次新公开的安全漏洞如下:
(1)通过Cross-site Scripting,在本地计算机区域运行脚本
(2)读取本地计算机上的文件
(3)窃取Cookie信息
(4)执行任意脚本及文件
(5)躲避IE区域识别,在企业内网区域或用户信赖的区域运行脚本
由于(5)包括2种安全漏洞,因此等于是公布了共计6种安全漏洞。根据IE版本的不同,可能有的版本不会受到一些安全漏洞的影响。但是,如果考虑到此次公开的所有的安全漏洞在每个版本的严重度均为“高(Critical)”这一情况,因此使用补丁程序是必不可少的。
另外,从各自的严重度来看,(1)至(3)为“高”、(4)为“中”、(5)为“低”。关于(5),因为只有在攻击者的Web站点与用户设备之间能够进行NetBIOS通信的情况下才能恶意使用安全漏洞,因此从远程受到攻击的可能性很低。另外,(4)的严重度虽为“中”,但可以认为这是个一个严重度很高的安全漏洞。
据美国微软发布的信息,(4)的安全漏洞是过去公布的安全漏洞“MS01-058”的“变种”。也就是说,在存在安全漏洞的IE上,仅仅打开Web页面及HTML邮件(预览),就有可能被轻松执行某指定文件。这是一种有可能会出现恶意使用安全漏洞的病毒(蠕虫)的严重安全漏洞。
从微软的信息来看,由于只对特定的用户环境存在攻击的可能性,因此将(4)的危险度定在了“中”。即只有安装某种特定软件的用户才会受到影响。但微软并没有明确公开“何种软件将受到影响”及“多少用户安装了这一软件”等信息。因此用户最好采取相应对策,以防受害。
