微软6月5日宣布在IE 5.01/5.5/6中发现2个安全漏洞。如果用户浏览做过手脚的Web页面和HTML邮件,就可能执行带病毒的恶意程序。对策是安装补丁程序。严重程度为“紧急”级,非常危险!因此必须尽快安装补丁。用户可从微软“安全信息”站点或通过“Windows Update”下载。
此次公布的安全漏洞为如下2个:
(1)Object Tag处理漏洞(2)文件下载对话框漏洞
(2)的原因在于IE浏览器无法适当地处理HTML文件中所包含的Object Tag。如果Object Tag中包括满足某个条件的参数,IE浏览器就会产生缓存溢出。结果就可能产生IE浏览器进程被异常中止,或者执行攻击者做了手脚的恶意程序。
(3)是指如果用户浏览不断显示文件下载对话框的HTML文件时,即便用户没有指定下载任何文件,也会随意下载并运行HTML文件中所指定的文件。5月10日以后在“Bugtraq”和“NTBugtraq”等日本安全邮件列表中已经有此报告。
上述漏洞均属于“紧急”级、非常危险。必须立即采取对策。
方法是安装补丁。用户既可以由微软“安全信息”站点下载,也可以通过“Windows Update”安装补丁程序。此次公布的是包含此前已经公布的所有IE浏览器补丁程序的累积补丁。
IE 6补丁、IE5.5补丁和IE5.01补丁程序可以分别安装在IE 6 SP1、IE 5.5 SP2和运行于Windows 2000上的IE 5.01 SP3中。IE 6方面还另行备有“IE6 SP1 for Windows Server 2003”补丁程序。尽管IE6 SP1 for Windows Server 2003也存在此次公布的安全漏洞,但由于默认条件下为安全设置(具体来说就是在Internet区中安全设置为“高”),不会受此漏洞影响。因此只有IE6 SP1 for Windows Server 2003,此漏洞的严重等级被定为倒数第二的“警告”级。
另外,与过去公布的IE浏览器累积补丁程序“MS03-004”和“MS03-015”一样,安装此次公布的补丁程序以后,有一些HTML帮助功能将无法使用。具体来说,就是window.showHelp()将不再起作用。如果用户安装了由“微软支持技术信息811630”下载的最新版“HTML Help control”,在安装补丁程序后也能够使用HTMLE帮助功能。