安全公告
Microsoft安全公告 MS01-053 - 中等
下载的应用程序可以在 Mac IE 5.1 for OS X 上执行。
发布时间: 2001 年 10 月 23 日 |更新时间:2003 年 6 月 13 日
版本: 1.1
最初发布: 2001 年 10 月 23 日
更新时间: 2003 年 6 月 13 日
总结
谁应该阅读此公告:
Microsoft® Internet Explorer 5.1 for Macintosh® 的所有用户
漏洞的影响:
运行攻击者选择的代码
最大风险评级:
中等
建议:
客户应使用 Mac OS X v10.1 软件更新实用工具安装“Internet Explorer 安全更新”
受影响的软件:
- Microsoft适用于 Macintosh 的 Internet Explorer 5.1
常规信息
技术详细信息
技术说明:
Macintosh OS X 操作系统为 BinHex 和 MacBinary 文件类型提供内置支持。 通过允许发送方压缩信息,然后由收件人解压缩,这些文件类型允许跨网络高效传输信息。 此功能在 Internet 上特别有用,允许用户执行压缩文件加载。
由于下载 BinHex 和 MacBinary 文件类型时 Mac OS X 和 Mac IE 5.1 互操作的方式存在缺陷,因此漏洞会导致漏洞。 因此,下载后,采用上述任一格式下载的应用程序可以在下载完成后自动执行。
用户首先必须选择下载文件并允许下载完全完成,然后应用程序才能执行。 此外,用户可以选择禁用这两种文件类型的自动解码。
缓解因素:
- 用户必须选择关闭应用程序,然后才能尝试利用漏洞。 如果没有用户交互,则无法利用它。
- 在尝试利用漏洞之前,应用程序必须成功下载。 用户可以在完成之前随时取消下载。
- 如果禁用了 BinHex 和 MacBinary 文件的自动解码,则无法利用该漏洞。 但是,这不是默认设置。
风险评级:
| Internet 系统 | Intranet 系统 | 客户端系统 | |
|---|---|---|---|
| Mac OS X | 无 | 无 | 中等 |
上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。
漏洞标识符:CAN-2001-0720
测试的版本:
Microsoft测试了 Macintosh 版本 5.1 版本 5.1.2 的 Internet Explorer,以评估它们是否受此漏洞的影响。 不再支持早期版本的适用于 Mac OS X 的 Internet Explorer,并且可能不受此漏洞的影响。
常见问题解答
漏洞的范围是什么?
此漏洞可能允许应用程序意外执行。 如果攻击者诱使受害者下载压缩为 BinHex 或 MacBinary 文件类型的恶意程序,则程序可以在下载完成后执行。
要使此攻击成功,用户必须启动下载过程。 此漏洞不能用于在用户系统上自动下载和执行恶意代码。
导致漏洞的原因是什么?
漏洞导致的原因是处理下载的 MacBinary 和 BinHex 文件时 IE 和 Mac OS 如何互操作的问题。
什么是 BinHex 和 MacBinary 文件?
BinHex 是一个实用工具,用于对 Macintosh 文件进行编码,以便它们可以在网络上很好地传输。 BinHex 将文件的 8 位二进制或位流表示形式编码为 7 位 ASCII 文本字符集。 收件人在其他端对其进行解码。
MacBinary 是通过电信链接传输 Macintosh 文档的二进制格式。 它适用于 Macintoshes 和将 Macintosh 文档上传到远程系统。
攻击者如何利用此漏洞?
攻击者需要在网站上托管可执行文件(打包为 BinHex 或 MacBinary 文件),然后诱使另一个用户访问该网站并启动下载。 下载完成后,可执行文件将自动执行。
修补程序的作用是什么?
此修补程序将 Internet Explorer 5.1 更新为版本 5.1.3(内部版本 3905),并阻止 Mac OS 自动启动 MacBinary 和 BinHex 文件。
在哪里可以下载修补程序或如何更新 OS?
用户必须使用 Mac OS X v10.1 的软件更新功能安装“Internet Explorer 5.1 安全更新”。有关软件更新的详细信息,请参阅: https:。
修补程序可用性
下载此修补程序的位置
Microsoft Mac OSX 的 IE 5.1:
用户必须使用 Mac OS X v10.1 的软件更新功能安装“Internet Explorer 5.1 安全更新”。有关软件更新的详细信息,请参阅: </https:>https:。
有关此修补程序的其他信息
安装平台:
可以在运行 Mac OS X v10.1 的系统上安装此修补程序。
需要重新启动: 否
取代的修补程序: 无。
验证修补程序安装:
若要验证是否已在计算机上安装修补程序,请确认 Internet Explorer 的版本号现在是 5.1.3。
为此,可以从“资源管理器”菜单中选择“关于 Internet Explorer”,并确认版本号为“5.1.3(3905)
注意:
无
本地化:
此修补程序可安装在所有版本的 Internet Explorer 5.1 for Mac OS X v10.1 上。
获取其他安全修补程序:
可从以下位置获取其他安全问题的修补程序:
- 安全修补程序可从 Microsoft下载中心获取,可通过执行关键字搜索“security_patch”轻松找到。
- WindowsUpdate 网站提供了使用者平台的修补程序。
其他信息:
支持:
- Microsoft知识库文章Q311052讨论此问题,将在发布本公告大约 24 小时后提供。 可以在Microsoft联机支持网站上找到知识库文章。
- Microsoft产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。
安全资源:Microsoft TechNet 安全网站提供有关Microsoft产品安全性的其他信息。
免责声明:
Microsoft知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft明示或默示地否认所有担保,包括适销性和针对特定用途的适用性的保证。 在任何情况下,Microsoft公司或其供应商应承担任何损害,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使Microsoft公司或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- V1.0 (2001 年 10 月 23 日):公告已创建。
- V1.1(2003 年 6 月 13 日):更新了指向Windows 更新的下载链接。
构建于 2014-04-18T13:49:36Z-07:00</https:>