|
丹麦安全公司Secunia等11月2日公开了在InternetExplorer(IE)6/6SP1中发现的。只要打开做过手脚的HTML文件(Web网页与HTML邮件),就存在运行任意程序的危险。实际上能够突破安全漏洞的HTML文件已被公开。值得注意的是,不仅IE6,利用IE组件的邮件软件等也会受到影响。不过如果安装了WindowsXP SP2,则不会受到影响。
此次公开的是无法妥善处理E标签的安全漏洞。具体来说,就是在处理E标签SRC与NAME属性的部分发现了缓冲区溢出漏洞。据称,对FRAME标签的处理也存在同样问题。因此,如果读取长字符串作为E(/FRAME)标签SRC与NAME属性的自变量,就会发生缓冲区溢出,可能执行任意程序。
该安全漏洞最早于10月24日前后被邮件列表等公开,从US-CERT等的信息来看,漏洞是通过验证Web浏览器的工具被发现的。
然而11月2日以后,实际突破安全漏洞的HTML文件被公布在邮件列表与Web站点上,因此Secunia将该安全漏洞的危险性设为最严重的“Extremelycritical”。
美国微软尚未公开有关安全漏洞的信息与补丁,US-CERT认为目前还没有万无一失的防范措施。
不过,安装Windows XP SP2的环境(IE 6)不会受到影响。因此使用Windows XP且安装XPSP2的环境下,XPSP2就算是防范措施了。
另据US-CERT的信息称,如果在IE的安全设置中将活动脚本设为无效,就很难突破安全漏洞。实际上,目前被公开的突破安全漏洞的HTML文件就是使用了t。但必须要注意的是,即使将活动脚本设为无效,也并非就一定不会受到安全漏洞的影响。
除此之外,US-CERT还列举了“不要点击不可靠的链接”、“将邮件软件设置为不显示HTML邮件”、“切实使用杀毒软件”等几种降低受害可能的方法。
| 
