【綠盟科技授權,賽迪發佈,謝絕任何網站轉載,違者,賽迪網將保留追究其法律責任的權利!】
【賽迪網-IT技術報道】IE是微軟操作系統中所默認捆綁的WEB瀏覽器。IE的CreateTextRange方式沒有正確地驗證HTML文檔中的超長參數。攻擊者可以通過構建特製的網頁來利用該漏洞,當用戶查看網頁時,該漏洞可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以獲得與登錄用戶相同的用戶權限。
發佈日期:2008-03-18
更新日期:2008-08-19
受影響系統:
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.0.1 SP4
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 28295
CVE(CAN) ID: CVE-2008-2255
Internet Explorer是微軟操作系統中所默認捆綁的WEB瀏覽器。
IE的CreateTextRange方式沒有正確地驗證HTML文檔中的超長參數。攻擊者可以通過構建特製的網頁來利用該漏洞,當用戶查看網頁時,該漏洞可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以獲得與登錄用戶相同的用戶權限。
<*來源:Juan Pablo Lopez Yacubian ([email protected])
鏈接:http://secunia.com/advisories/31375/
http://marc.info/?l=bugtraq&m=120585764805251&w=2
http://www.microsoft.com/technet/security/Bulletin/MS08-045.mspx?pf=true
http://www.us-cert.gov/cas/techalerts/TA08-225A.html
*>
建議:
--------------------------------------------------------------------------------
臨時解決方法:
如果您不能立刻安裝補丁或者升級,NSFOCUS建議您採取以下措施以降低威脅:
* 將Internet Explorer配置為在Internet和本地Intranet安全區域中運行ActiveX控件之前進行提示。
* 將Internet 和本地Intranet安全區域設置設為「高」,以便在這些區域中運行ActiveX控件和活動腳本之前進行提示。
* 以純文本格式閱讀電子郵件可幫助保護您免受來自HTML電子郵件攻擊媒介的攻擊。
廠商補丁:
Microsoft
---------
Microsoft已經為此發佈了一個安全公告(MS08-045)以及相應補丁:
MS08-045:Cumulative Security Update for Internet Explorer (953838)
鏈接:http://www.microsoft.com/technet/security/Bulletin/MS08-045.mspx?pf=true
(