Microsoft IE HTML組件處理多個記憶體破壞漏洞

【綠盟科技授權，賽迪發佈，謝絕任何網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

【賽迪網-IT技術報道】Internet Explorer是微軟操作系統中默認捆綁的WEB瀏覽器。IE訪問尚未正確初始化或已被刪除的對象的方式中存在遠程執行代碼漏洞，在打印預覽處理過程中處理參數驗證的方式中存在另一個遠程執行代碼漏洞。

發佈日期：2008-08-12

更新日期：2008-08-18

受影響系統：

Microsoft Internet Explorer 7.0

Microsoft Internet Explorer 6.0 SP1

Microsoft Internet Explorer 6.0

Microsoft Internet Explorer 5.0.1 SP4

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 30614,30611,30612

CVE(CAN) ID: CVE-2008-2254,CVE-2008-2256,CVE-2008-2259

Internet Explorer是微軟操作系統中默認捆綁的WEB瀏覽器。

IE訪問尚未正確初始化或已被刪除的對象的方式中存在遠程執行代碼漏洞，在打印預覽處理過程中處理參數驗證的方式中存在另一個遠程執行代碼漏洞。攻擊者可以通過構建特製的網頁來利用該漏洞，當用戶查看網頁時，該漏洞可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以獲得與登錄用戶相同的用戶權限。

<*來源：Yamata Li

Tavis Ormandy （[email protected]）

鏈接：http://secunia.com/advisories/31375/

http://www.microsoft.com/technet/security/Bulletin/MS08-045.mspx?pf=true

http://www.us-cert.gov/cas/techalerts/TA08-225A.html

*>

建議：

--------------------------------------------------------------------------------

臨時解決方法：

* 將Internet Explorer配置為在Internet和本地Intranet安全區域中運行ActiveX控件之前進行提示。

* 將Internet 和本地Intranet安全區域設置設為「高」，以便在這些區域中運行ActiveX控件和活動腳本之前進行提示。

* 以純文本格式閱讀電子郵件可幫助保護您免受來自HTML電子郵件攻擊媒介的攻擊。

廠商補丁：

Microsoft

---------

Microsoft已經為此發佈了一個安全公告（MS08-045）以及相應補丁:

MS08-045：Cumulative Security Update for Internet Explorer (953838)

鏈接：http://www.microsoft.com/technet/security/Bulletin/MS08-045.mspx?pf=true

(