|
日本微软于12月13日公布了Internet Explorer(IE)6的安全漏洞信息。如果用户使用IE浏览了做过手脚的Web页,就有任意下载可执行文件并运行的危险。打开利用IE进行HTML邮件处理的邮件软件(Outlook及Outlook Express等)并浏览HTML邮件时同样也会受到影响。
除上述安全漏洞外,日本微软还公布了2种对IE 5.5和IE 6有影响的安全漏洞信息。由于修补这三种安全漏洞的合并补丁已经公开,所以读者应请尽快下载安装。
此次公布的3种安全漏洞为:(1)随意运行文件的安全漏洞;(2)读取用户机器内文件的安全漏洞;(3)改变“文件下载”对话框内显示文件名的安全漏洞。其中(1)仅IE 6受影响,而(2)与(3)则影响到了IE 5.5和IE 6。
(1)的“危险度”定为“高”,属于非常危险的安全漏洞。本来IE在打开可执行文件时(下载运行)时,会显示一个对话框,由用户进行确认。但对HTML文件做过手脚后,就可让用户将可执行文件误认为是可以不经确认便可打开的文件。结果,用户仅浏览一下Web页或HTML文件,被指定的文件就开始运行。
(2)与(3)的危险度为“中”。(2)是过去已经公开过的“(MS01-015)Internet Explorer泄漏缓冲区内地址”的“变种”。如果突破这个安全漏洞,Web管理员就有可能看到IE访问用户机器内的部分文件。
(3)为有关“文件下载”对话框的安全漏洞。当从Web网站下载文件时,就显示出“文件下载”对话框。这时,对话框显示的文件名就被并非实际下载的文件名所取代。也就是说,可能会欺骗用户让用户下载。
美国微软已经公布了堵塞这三种安全漏洞的补丁。下载网页为英语。此外,IE 5.5在安装补丁前,还需安装IE 5.5 SP(Service Pack)2 。
| 
