Microsoft 安全公告 MS02-005 - 严重

2002 年 2 月 11 日 Internet Explorer 累积修补程序

发布时间: 2002 年 2 月 11 日 |更新时间:2003 年 5 月 9 日

版本: 1.1

最初发布: 2002 年 2 月 11 日
更新时间: 2003 年 5 月 9 日

总结

谁应阅读此公告: 使用 Microsoft® Internet Explorer 的客户

漏洞的影响: 六个漏洞,其中最严重的漏洞可能导致攻击者在另一个用户的系统上运行代码。

最大严重性分级: 严重

建议: 使用受影响的 IE 版本的客户应立即安装修补程序。

受影响的软件:

  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 6.0

常规信息

技术详细信息

技术说明:

这是一个累积修补程序,安装后,可消除影响 IE 5.01、5.5 和 IE 6 的所有以前讨论过的安全漏洞。 此外,它还消除了以下六个新发现的漏洞:

  • 与 HTML 指令关联的缓冲区溢出漏洞,该指令用于在网页中合并文档。 通过创建使用特殊选择的属性调用指令的网页,攻击者可能会导致代码在用户的系统上运行。
  • 与 GetObject 脚本函数关联的漏洞。 在向操作系统对象提供句柄之前,GetObject 会执行一系列安全检查,以确保调用方具有足够的权限。 但是,通过使用特殊格式的表示形式请求文件的句柄,可以绕过其中一些检查,从而允许网页完成应阻止的操作,即读取正在访问用户的系统上的文件。
  • 与在“文件下载”对话框中显示文件名相关的漏洞。 从网站下载文件时,对话会提供文件的名称,并允许用户选择要执行的操作。 但是,HTML 标头字段(特别是 Content-Disposition 和 Content-Type 字段)的处理方式存在缺陷。 此缺陷可能导致攻击者在对话中歪曲文件的名称,试图欺骗用户打开或保存不安全的文件。
  • 一个漏洞,该漏洞可能允许网页使用安装在用户系统上的任何应用程序打开网站上的文件。 根据设计,IE 应仅使用注册到该文件类型的应用程序在网站上打开文件,即使它位于安全应用程序列表上也是如此。 但是,通过处理 Content-Type HTML 标头字段的缺陷,攻击者可以规避此限制,并指定应调用以处理特定文件的应用程序。 即使应用程序被列为不安全,IE 也会遵守。
  • 即使用户禁用了脚本,也可以使网页能够运行脚本的漏洞。 最初呈现页面时存在脚本的 IE 检查。 但是,页面上的对象能够响应异步事件;通过以特定方式误用此功能,网页可以在页面传递初始安全检查后触发脚本。
  • Microsoft 安全公告 MS01-058 中讨论的“帧域验证”漏洞的新发现变体。 该漏洞可能使恶意网站操作员能够打开两个浏览器窗口,一个在网站的域中,另一个位于用户的本地文件系统上,并使用 Document.open 函数将信息从后者传递到前者。 这样,网站操作员就可以读取(但不更改)用户本地计算机上的任何可在浏览器窗口中打开的文件。 此外,这可用于错误地表示从其网站打开的窗口中地址栏中的 URL。

缓解因素:

HTML 指令中的缓冲区溢出:

  • 如果在呈现页面的安全区域中禁用了“运行 ActiveX 控件和插件”安全选项,则无法利用该漏洞。 这是受限站点区域中的默认条件,可以在任何其他区域中手动禁用。
  • Outlook 98 和 2000(安装 Outlook 电子邮件安全更新后)、Outlook 2002 和 Outlook Express 6 均在受限站点区域中打开 HTML 邮件。 因此,使用这些产品的客户不会受到电子邮件传播攻击的风险。
  • 缓冲区溢出允许代码在用户而不是系统的安全上下文中运行。 因此,攻击者可以通过此漏洞获得的特定特权取决于向用户授予的权限。

通过 GetObject 函数读取文件:

  • 此漏洞只能用于读取文件。 它不能用于创建、更改、删除或执行它们。
  • 攻击者需要知道用户计算机上文件的名称和位置。
  • 某些对攻击者感兴趣的文件(尤其是 SAM 数据库)被操作系统锁定,因此即使使用此漏洞也无法读取。
  • 如果用户使用以下任一内容,将阻止电子邮件传播的攻击方案:安装了 Outlook 电子邮件安全更新的 Outlook 98 或 2000;Outlook 2002;或 Outlook Express 6。
  • 可以使用 IE 安全区域机制(例如使用受限站点区域)来阻止基于 Web 的攻击方案。

通过 Content-Type 和 Content-Disposition 字段进行文件下载对话欺骗:

  • 利用此漏洞不会使攻击者能够强制代码在用户的系统上运行。 它只会使攻击者能够歪曲文件名并在“文件下载”对话框中键入。 下载操作不会在用户批准的情况下发生,并且用户可以随时取消。
  • 如果在呈现电子邮件的安全区域中禁用了文件下载,则无法利用该漏洞。 但是,这不是任何区域中的默认设置。
  • 在 6.0 之前的 IE 版本中,文件下载对话框中的默认选择是保存文件,而不是打开该文件。 (在 IE 6.0 中,默认打开文件;但是,此行为不合适,修补程序将更改 IE 6.0 以符合以前版本的行为)。

通过 Content-Type 字段调用应用程序:

  • 如果通过内容类型字段指定的应用程序实际上安装在用户的系统上,攻击者才能利用此漏洞。
  • 该漏洞不会为攻击者提供任何方法来清点安装在用户系统上的应用程序并选择一个应用程序,也不会提供任何强制用户安装特定应用程序的方法。
  • 该漏洞不会提供任何方式来规避应用程序的安全功能或重新配置它。
  • 已将 Outlook 配置为 将 HTML 邮件呈现为纯文本 的 Outlook 2002 用户不会面临通过 HTML 邮件攻击的风险。

脚本执行:

  • 此漏洞仅扩展到允许脚本运行 -它不允许绕过任何其他安全限制。 因此,例如,尽管攻击者可以使用此漏洞来运行脚本,但该脚本仍会受到所有其他预期安全设置的约束。

通过 Document.Open 函数的帧域验证变体:

  • 漏洞只能用于查看文件。 它不能用于创建、删除、修改或执行它们。
  • 此漏洞仅允许攻击者读取可在浏览器窗口中打开的文件,例如图像文件、HTML 文件和文本文件。 无法读取其他文件类型,例如二进制文件、可执行文件、Word 文档等。
  • 攻击者需要指定文件的确切名称和位置才能读取该文件。

严重性分级:

HTML 指令中的缓冲区溢出:

Internet 服务器 Intranet 服务器 客户端系统
Internet Explorer 5.01 None
Internet Explorer 5.5 严重 严重 严重
Internet Explorer 6.0 严重 严重 严重

通过 GetObject 函数读取文件:

Internet 服务器 Intranet 服务器 客户端系统
Internet Explorer 5.01 适中 适中 严重
Internet Explorer 5.5 适中 适中 严重
Internet Explorer 6.0 适中 适中 严重

通过 Content-Type 和 Content-ID 字段的文件下载对话欺骗:

Internet 服务器 Intranet 服务器 客户端系统
Internet Explorer 5.01 适中 适中 适中
Internet Explorer 5.5 适中 适中 适中
Internet Explorer 6.0 适中 适中 适中

通过 Content-Type 字段调用应用程序:

Internet 服务器 Intranet 服务器 客户端系统
Internet Explorer 5.01 适中 适中 适中
Internet Explorer 5.5 适中 适中 适中
Internet Explorer 6.0 适中 适中 适中

脚本执行:

Internet 服务器 Intranet 服务器 客户端系统
Internet Explorer 5.01 None
Internet Explorer 5.5 适中 适中 适中
Internet Explorer 6.0 适中 适中 适中

通过 Document.open 函数的帧域验证变体:

Internet 服务器 Intranet 服务器 客户端系统
Internet Explorer 5.01 None
Internet Explorer 5.5 适中 适中 严重
Internet Explorer 6.0 适中 适中 严重

修补消除的所有漏洞的聚合严重性:

Internet 服务器 Intranet 服务器 客户端系统
Internet Explorer 5.01 适中 适中 严重
Internet Explorer 5.5 严重 严重 严重
Internet Explorer 6.0 严重 严重 严重

上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。

漏洞标识符:

测试的版本:

下表指示哪些当前受支持的 Internet Explorer 版本受漏洞影响。 5.01 Service Pack 2 之前的 IE 版本不再有资格获得 修补程序 支持。 仅通过 Windows® 2000 Service Pack 和安全汇总包支持 IE 5.01 SP2。

IE 5.01 SP2 IE 5.5 SP1 IE 5.5 SP2 IE 6.0
缓冲区溢出
通过 GetObject 函数读取文件
通过 Content-Type 和 Content-ID 字段下载欺骗文件
通过 Content-Type 字段调用应用程序
脚本执行
通过 Document.open 函数的帧域验证变体

常见问题解答

此修补程序消除了哪些漏洞?
这是一个累积修补程序,应用后,可消除影响 Internet Explorer 5.01、5.5 和 6.0 的所有已知安全漏洞。 除了消除以前讨论的所有漏洞版本之外,它还消除了六个新漏洞:一种漏洞,使攻击者能够对用户自己可以采取的其他用户系统上的任何操作。

  • 攻击者可以通过该漏洞从其他用户的系统读取文件。
  • 一个漏洞,可帮助攻击者说服用户下载或运行不安全的文件。
  • 攻击者可以通过该漏洞在另一用户的系统上启动应用程序。
  • 使网页能够无视用户选择的安全设置之一的漏洞。
  • Microsoft 安全公告 MS01-058 中讨论的新发现的“帧域验证”漏洞变体。

第一个漏洞的范围是什么?
这是缓冲区溢出漏洞。 通过创建特殊格式的网页并将其发布到网站上或将其作为 HTML 邮件发送给用户,攻击者可以在其他用户的系统上采取措施,包括添加、创建或删除文件、与网站通信或重新格式化硬盘驱动器。 该漏洞受多种缓解因素影响:

  • 如果用户使用以下任一内容,将阻止电子邮件传播的攻击方案:安装了 Outlook 电子邮件安全更新的 Outlook 98 或 2000;Outlook 2002;或 Outlook Express 6。
  • 基于 Web 的攻击方案可以通过明智地使用 IE 安全区域机制来阻止。
  • 成功利用此漏洞的攻击者可能会获得与合法用户相同的权限,但不能获得系统级特权。 如果用户在系统上只有少数特权,攻击者将仅获得这些权限;另一方面,如果用户拥有更多权限,攻击者也会获得这些权限。

导致漏洞的原因是什么?
由于 HTML 指令的实现中出现未检查缓冲区,该缓冲区允许网页合并文档,导致漏洞。 通过创建以正确方式调用此指令的网页,攻击者可能会溢出缓冲区,并导致任何所需的代码在用户系统上运行。

此漏洞使攻击者能够执行哪些操作?
攻击者可以使用此漏洞来修改 IE 在运行时的功能。 由于 IE 在用户的安全上下文中运行,这使攻击者能够在用户自己可以执行的用户系统上的任何操作。 攻击者可能执行的操作取决于用户对系统拥有的权限。 如果用户拥有较少的权限,攻击者可能能够采取相对较少的操作;另一方面,如果用户具有管理权限,攻击者可能会完全控制系统。

攻击者如何利用漏洞?
攻击者需要创建一个网页,该网页在打开时会调用上面讨论的 HTML 指令,并导致缓冲区溢出。 攻击者可能会使用两种策略之一来导致另一个用户打开页面:

  • 在网站上托管页面。 如果用户访问了该网站并打开了网页,页面将尝试利用该漏洞。
  • 将页面作为 HTML 邮件发送给用户。 如果收件人打开邮件,它将尝试利用该漏洞。

在这两种情况下,你都表示网页将尝试利用漏洞。 “尝试”一词的重要性是什么?
仅当启用了特定的安全设置“运行 ActiveX 控件和插件”时,网页才能利用漏洞。 如果它已被禁用,攻击者无法利用漏洞。 此设置在某些 IE 安全区域中处于启用状态,但在其他区域中处于禁用状态。

网络传播场景构成的风险有多大?
Web 传播方案对攻击者的主要优点是,默认情况下,所有 Internet 网站都驻留在 Internet 区域中,并在该处启用“运行 ActiveX 控件和插件”设置。 这意味着,除非用户执行了特殊步骤-要么禁用 Internet 区域中的设置,要么将攻击者的网站移动到受限站点区域,否则它们可能会受到攻击。 攻击者的缺点是,Web 传播的方案需要将用户引诱到网站。 这可能需要重要的社会工程。

邮件传播场景构成的风险有多大?
邮件传播方案的攻击者的优势在于,它可用于攻击大量用户。 攻击者可以创建利用漏洞的邮件,并将其发送给尽可能多的用户。 他们只需要打开邮件,才能受到它的影响。 攻击者的缺点是,许多用户的系统配置为在受限站点区域中打开 HTML 邮件,其中默认禁用“运行 ActiveX 控件和插件”设置。 具体而言, Outlook 电子邮件安全更新 将 Outlook 98 或 2000 配置为在受限站点区域中打开邮件。 Outlook 2002 和 Outlook Express 6 默认打开邮件。

我使用的是上面列出的电子邮件产品之一。 这是否意味着我不需要修补程序?
Outlook 电子邮件安全更新、Outlook 2002 和 Outlook Express 6 将保护你免受邮件传播的攻击方案。 但是,我们仍建议你安装修补程序,以确保你受到基于 Web 的方案的保护。

修补程序如何消除此漏洞?
此修补程序会在此漏洞中将适当的缓冲区处理还原到 HTML 指令。

第二个漏洞的范围是什么?
此漏洞可能允许攻击者查看其他用户计算机上的文件。 可以通过两种方案之一来利用它。 攻击者可以将特殊格式的 HTML 邮件发送给另一个用户,该邮件在打开后会向攻击者发送文件的内容;或攻击者可以设置一个网站,当用户访问时,会读取用户计算机上的文件。 存在许多与此漏洞相关的重大缓解因素:

  • 它只能用于读取文件。 它不能用于创建、更改、删除或执行它们。
  • 攻击者需要知道用户计算机上文件的名称和位置。
  • 漏洞只能用于读取操作系统未锁定的文件。 因此,即使使用此漏洞,攻击者感兴趣的某些文件也不可用。
  • 如果用户使用以下任一内容,将阻止电子邮件传播的攻击方案:安装了 Outlook 电子邮件安全更新的 Outlook 98 或 2000;Outlook 2002;或 Outlook Express 6。
  • 基于 Web 的攻击方案可以通过明智地使用 IE 安全区域机制来阻止。

导致漏洞的原因是什么?
由于 GetObject 函数的安全检查可以使用特定方式格式不正确的参数进行调用,因此可能会欺骗漏洞。 此缺陷可能允许网页在用户的系统上打开和读取文件。

GetObject 函数是什么?
GetObject 是一个脚本命令,用于与数据文件和其他操作系统对象建立联系。 在脚本可以使用此类对象之前,首先必须使用 GetObject 函数来访问它。

GetObject 函数有什么问题?
当网页调用 GetObject 时,它将执行一系列安全检查,旨在确保页面只能以对用户数据构成威胁的方式使用该对象。 但是,通过以特定方式指定对象,可以强制 GetObject 错误地执行这些检查,并使网页能够读取用户计算机上的文件。

此漏洞会使攻击者能够执行哪些操作?
攻击者可以使用此漏洞读取其他用户系统上的文件,但不能创建、删除或修改文件。

攻击者如何利用漏洞?
攻击者需要创建一个网页,该网页在打开时会调用 GetObject 函数以在用户的系统上打开文件。 通过指定上面所述的文件名,网页将利用该漏洞,并能够在打开页面的任何用户的系统上读取文件。 攻击者可能会通过以下两种策略之一传递页面:

  • 在网站上托管页面。 如果用户访问了该网站并打开了网页,页面将尝试利用该漏洞。
  • 将页面作为 HTML 邮件发送给用户。 如果收件人打开邮件,它将尝试利用该漏洞。

攻击者可以读取漏洞哪些文件?
漏洞可用于读取用户系统上的任何文件,但攻击者需要指定文件的确切位置。 由于多种原因,利用漏洞会更加困难:

  • 攻击者很难猜测其他用户创建的文件的名称和位置。 漏洞不会为攻击者提供任何方法来枚举系统上的文件,并选择一个用于读取的文件。
  • 尽管许多系统文件位于已知位置,但这些位置因操作系统而异。 也就是说,位于 Windows 95 中的一个位置的文件可能位于 Windows XP 中完全不同的位置。 该网页无法判断特定用户正在使用的操作系统。

我听说攻击者可以使用此漏洞获取系统的登录密码。 是否正确?
否。 的确,Windows NT®、Windows 2000 和 Windows XP 将加密版本的用户密码存储在名为 SAM 数据库的系统数据结构中,并且此数据库采用系统文件的形式。 同样,如果攻击者获取了 SAM 数据库的副本,则可能会受到密码破解攻击,攻击者只需猜测密码,直到找到正确的密码。 但是,此漏洞不提供攻击者读取 SAM 数据库的方法。 操作系统锁定此文件(和其他重要系统文件),不允许任何其他进程读取它。 因此,即使使用此漏洞,攻击者也无法获取 SAM 数据库的副本并破解用户的密码。

网络传播和邮件传播的攻击途径构成的风险有多大?
网络传播的攻击方案将允许攻击者攻击机会目标(即碰巧访问网站的用户)。 但是,攻击者不会提供任何方法来强制特定用户访问该网站。 邮件传播方案将允许攻击者攻击选定的用户。 但是,这要求攻击者知道这些用户的电子邮件地址。 此外,如果用户在 Outlook 98 或 2000 上安装 Outlook 电子邮件安全更新 ,则邮件传播方案将失败;使用的是 Outlook 2002(默认包含 Outlook 电子邮件更新);或者使用的是 Outlook Express 6。

我使用的是上面列出的电子邮件产品之一。 这是否意味着我不需要修补程序?
Outlook 电子邮件安全更新、Outlook 2002 和 Outlook Express 6 将保护你免受邮件传播的攻击方案。 但是,我们仍建议你安装修补程序,以确保你受到基于 Web 的方案的保护。

修补程序如何消除此漏洞?
该修补程序会导致 GetObject 无法正确执行预期的安全检查,即使文件名格式不正确,如上文所述。

第三个漏洞的范围是什么?
第三个漏洞可能导致攻击者在“文件下载”对话框中显示错误的名称。 攻击者可能会利用此漏洞,试图欺骗用户下载不安全的文件。 该漏洞不会为攻击者提供任何方法来替代与下载相关的正常系统行为。 也就是说,它不会为攻击者提供一种方法来强制用户接受下载 - 用户只需通过对话框取消操作即可。

导致漏洞的原因是什么?
发生此漏洞的原因是,为了使 IE 文件下载对话框显示错误的文件名和类型,可以操作网页中的 HTML 标头信息。 通过启动文件下载并使用此漏洞来歪曲正在下载的文件的名称和类型,攻击者可能会创建允许用户运行可执行文件或其他不安全文件的情况。

什么是 HTML 标头?
HTML 标头是网页中的字段,告知浏览器如何处理页面的某些方面。 例如,HTML 标头可能会告知浏览器如何呈现页面或解释其上的数据。 此处的漏洞由于 IE 处理两个 HTML 标头字段的方式存在缺陷,该字段告知它如何处理网页引用的非 HTML 文件。

你对“网页引用的非 HTML 文件”意味着什么?
网页通常由 HTML 文件组成,即包含命令的文件,告知浏览器要显示的文本以及如何显示它。 但是,在某些情况下,网页可能需要引用由其他数据组成的文件。 例如,网页可能需要引用流式处理媒体文件、文本文件、程序文件或某种其他类型的数据。 早期浏览器是为了读取和仅显示 HTML 而构建的;所有其他文件都将下载到本地系统,然后用户将使用相应的应用程序打开这些文件。 但是,为了提供更丰富的浏览体验,浏览器功能已经过扩展,以便可以直接处理非 HTML 文件。 例如,IE 通过直接在 WordPad 或 Word 中打开文件来处理.DOC文件,并通过启动用户的媒体播放器并播放文件来处理流媒体文件。

IE 如何确定处理非 HTML 文件的适当方法?
大多数新式浏览器(包括 IE)使用多用途 Internet 邮件扩展 (MIME) 信息来处理非 HTML 数据。 MIME 类型是首先开发的,以便 Internet 邮件客户端可以智能地处理文件附件,但其使用已扩展,以便浏览器也可以使用它们以智能方式处理文件。 当网页指示 IE 下载非 HTML 页面时,它通过两个 HTML 标头字段(称为 Content-Disposition 和 Content-Type)提供 MIME 类型信息。 IE 确定非 HTML 文件的 MIME 类型后,它会咨询一个内部表,告知它处理文件的正确方法。

什么是 Content-Disposition 和 Content-Type 标头字段?
Content-Disposition 和 Content-Type 标头字段用于向浏览器提供 MIME 类型信息。 Content-Disposition 字段 提醒 浏览器非 HTML 数据即将推出。 然后,“内容类型”字段提供 MIME 类型信息。

IE 处理 Content-Disposition 和 Content-Type 标头字段的方式有什么问题?
可以将信息插入到这些字段中,这将导致启动下载时显示错误的信息。 例如,攻击者可能导致在对话中将文件表示为“file.txt”,而实际上它实际上被命名为“file.exe”。

此漏洞使攻击者能够执行哪些操作?
它可能使攻击者能够创建一个网页,该网页显示时,将启动文件下载并显示文件的误导性名称,希望说服用户安全地下载。 该页面可以托管在 Web 服务器上,也可以以 HTML 邮件的形式发送给用户。

文件位于何处?
该文件需要位于攻击者控制的服务器上。 如果由于某种原因无法访问该服务器,则攻击会失败。

网页能否自动启动此类下载?
是的。 根据设计,网页始终可以启动文件下载。 但是,必须具体说明这意味着什么。 用户仍控制下载是否继续。 也就是说,文件下载启动后,将显示“文件下载”对话框,并且用户有机会取消下载。 漏洞中没有任何内容使攻击者能够阻止用户在下载对话框中选择“取消”。

如果用户确实选择让下载继续,会发生什么情况?
这取决于用户的选择:

  • 选择“打开”将导致程序运行。
  • 选择“保存”将导致程序保存到用户的系统中。
  • 选择“取消”将取消下载

文件下载对话框中的默认选择是什么?
在 6.0 之前的 IE 的所有版本中,文件下载对话框中的默认选择是保存文件。 IE 6.0 中的 bug 使默认选择用于打开文件;但是,此修补程序消除了 bug,并导致 IE 6.0 符合以前版本的行为。

如果用户选择保存文件,则会将其保存在其实名下并键入?
是的。 例如,如果攻击者使用此漏洞将file.exe误报为file.txt,并且用户选择了保存文件的选项,而不是将其打开,该文件将另存为file.exe。

如果攻击者无法强制用户接受下载,并且无法强制程序运行,为什么这是安全漏洞?
在 Web 传播方案中,这实际上不符合安全漏洞的条件。 IE 始终允许用户识别其访问的网站,并且用户应始终将信任决策基于他们信任该网站的程度。 也就是说,信任应基于文件的源,而不是对话中显示的内容。 但是,电子邮件传播的方案是另一个故事,这也是此方案限定为安全漏洞的原因。 无法基于电子邮件的来源信任。 不仅欺骗电子邮件地址很简单,许多病毒也会导致受感染的系统将自己的副本发送给其他用户。 也就是说,仅仅因为一封电子邮件说它来自你信任的人,这并不意味着它确实做到了,即使它确实来自该人的电子邮件帐户,也不一定意味着该人故意发送它。

Microsoft 安全公告 MS01-058 中讨论的漏洞之一还涉及 Content-Disposition 和 Content-Type 标头字段。 此问题是否相同?
否。 Microsoft 安全公告 MS01-058 确实讨论了涉及处理同一标头字段的漏洞,但该漏洞的影响与此漏洞的效果大相径庭。 如果该漏洞可用于自动运行可执行文件,则只能使用此漏洞来歪曲文件名。

修补程序如何消除此漏洞?
无论 Content-Disposition 和 Content-Type 字段的值如何,修补程序都会导致 IE 显示已下载文件的实际名称。

第四个漏洞的范围是什么?
此漏洞可能使攻击者能够使用网页来启动安装在用户系统上的应用程序之一,并结合攻击者提供的文件。 在最坏的情况下,这可能导致攻击者采取严肃措施,例如创建、修改或删除数据文件、与网站通信或重新格式化硬盘驱动器。
通过此漏洞可以采取的实际操作将取决于在用户系统上安装了哪些应用程序、每个提供的安全级别以及它们的配置方式。 但是,攻击者无法确定安装了哪些应用程序,也不会提供任何方法来安装其他应用程序或重新配置已安装的应用程序。

导致漏洞的原因是什么?
由于 IE 处理 Content-Type HTML 标头字段的方式存在缺陷,导致漏洞。 此缺陷可能允许网页指定应使用特定应用程序来处理从网站下载的文件,并且不需要在执行此操作之前请求用户权限。

此漏洞和上一个漏洞都涉及“内容类型”字段。 它们是否相关?
否。 此漏洞与前一个漏洞的唯一共同点是内容类型 HTML 标头字段的参与。 在所有其他方面,漏洞是完全无关的。

如何处理 Content-Type 字段有什么问题?
如上述讨论中所述,从网站下载文件时,将使用“内容类型”字段,并告知 IE 如何处理该文件。 具体而言,它提供了一些信息,允许 IE 确定应使用哪些应用程序来打开文件。 根据设计,IE 应仅使用其关联的应用程序打开文件(例如,应仅使用 Word 打开 Word 文档)。 此外,仅当保证应用程序无法采取任何不安全操作时,才会自动打开它们。 但是,此漏洞将使网页能够绕过这两个限制 - 它可以将任何所需的应用程序指定为打开文件所需的应用程序,即使应用程序未注册为安全应用程序,IE 也会遵守。

这会使攻击者能够执行哪些操作?
该漏洞将使攻击者能够创建一个网页,该网页会自动下载文件,并使用安装在用户系统上的应用程序将其打开。 例如,通过此漏洞,攻击者可能会创建包含自动execute 宏的 Word 文档(即,在打开文档时立即运行的宏),然后打开该宏。 这可能会导致宏运行。

为什么“潜在”? 宏不会运行吗?
这取决于用户配置 Word 的方式。 如果它配置为允许宏自动运行,则宏将运行 - 并且能够在用户系统上执行任何操作。 但是,如果 Word 配置为禁用宏(默认为宏),则宏不会运行。

攻击者如何利用此漏洞?
包含格式不正确的内容类型信息的网页可以托管在攻击者的网站上,也可以作为 HTML 邮件发送给其他用户。

文件位于何处?
该文件需要位于攻击者控制的服务器上。 如果由于某种原因无法访问该服务器,则攻击会失败。

如果网页指定了未安装在用户系统上的应用程序,该怎么办?
攻击会失败。 漏洞不会为攻击者提供任何方法来确定用户系统上的应用程序或安装新应用程序。 攻击者需要知道或猜测安装了哪些应用程序。

Outlook 电子邮件安全更新是否会防范邮件传播的攻击方案?
它不会,因为允许文件下载的设置默认处于受限站点区域中。 但是,使用 Outlook 2002 的客户可以通过配置 Outlook 将 HTML 邮件呈现为纯文本来阻止邮件传播的方案。 Microsoft 知识库文章 Q307594 提供有关此功能以及如何使用它的信息。

修补程序如何消除此漏洞?
此修补程序将还原本节中讨论的 Content-Type 字段的按设计操作。

第五个漏洞的范围是什么?
此漏洞可能使攻击者能够生成一个网页,该网页绕过 Internet Explorer 中的某个安全设置,并运行脚本,即使用户已禁用它。 该漏洞仅影响脚本的单个开/关设置 - 无法通过漏洞绕过其他安全设置,即使脚本通过此漏洞运行,IE 安全模型仍会限制它可以执行的操作。

导致漏洞的原因是什么?
由于与 HTML 指令关联的缺陷导致漏洞,该指令允许事件在网页上异步发生。 即使用户禁用了脚本,该指令也可能被滥用以允许脚本运行。

脚本的含义是什么?
脚本 是使 Web 开发人员能够操作网页上的项的程序。 许多网站使用脚本来检查用户正在运行的浏览器、验证输入、处理控件以及与用户通信。 用户应始终控制是否允许脚本运行。 具体而言, 安全区域 机制允许你指定(通过标记为“活动脚本”的安全设置)脚本是否应运行,并在哪些条件下运行。 默认情况下,除受限站点区域之外的所有区域中都启用了脚本编写。

当你在此处说 HTML 指令“允许在网页上异步发生事件”时,你意味着什么?
在许多网页上,呈现页面时,页面上的所有文本、图形和其他项目都存在,只要显示页面,就一直保留在那里。 但是,这不必是这种情况 - 网页中的项目也可以加入或离开页面,以响应用户操作或时间的流逝。 本例中的漏洞围绕用于执行此操作的 HTML 指令展开

此处的指令有什么问题?
指令本身没有任何问题 - 它的工作方式是播发的,并允许 Web 项目“触发”以响应各种事件。 漏洞结果是因为 IE 在页面最初加载时执行其安全检查;通过使用此指令,Web 上的脚本可能会在安全检查完成后触发,尽管存在相反的安全设置,仍可运行。

此漏洞使攻击者能够执行哪些操作?
此漏洞为网页提供了绕过用户安全设置并运行脚本的方法,即使脚本已禁用也是如此。 此类网页可以托管在攻击者的网站上,也可以以 HTML 邮件的形式发送给用户。

漏洞是否会提供绕过任何其他安全设置的方法?
这不会,这是一个关键点。 该漏洞仅为网页提供启动脚本的方法 - 它不提供绕过任何其他安全约束的方法。 IE 安全模型旨在防止脚本采取不安全操作,并且此漏洞不会更改此漏洞。 (当然,以前曾报告过涉及安全模型的漏洞。但是,由于此修补程序是累积的,因此应用它可确保这些修补程序都不会保留)。

修补程序如何消除此漏洞?
此修补程序可确保仅允许脚本在启用脚本时运行,而不考虑何时调用脚本。

第六个漏洞的范围是什么?
此漏洞是最初在 Microsoft 安全公告 MS01-058 中讨论的“帧域验证”漏洞的新变体。 该漏洞可能允许恶意网站操作员查看访问用户计算机上的文件。 存在许多与此漏洞相关的重大缓解因素:

  • 它只能用于读取文件 -- 不创建、更改、删除或执行这些文件。
  • 攻击者需要知道用户计算机上的文件的名称和位置
  • 即使成功利用,攻击者也只能查看可在浏览器窗口中打开的文件,例如 HTML 文件、图像文件或文本文件。
  • 漏洞需要活动脚本才能成功。 如果恶意站点位于不允许活动脚本的安全区域中,则无法利用漏洞。

在哪里可以找到有关“帧域验证”漏洞的详细信息?
Microsoft 安全公告 MS00-033MS00-055MS00-093MS01-015MS01-058 详细讨论了漏洞。

新变体和以前的变体之间是否有任何差异?
否。 新变体的范围与前一个变体的范围完全相同。 唯一的区别在于包含缺陷的特定函数。 在这种情况下,缺陷在于 Document.open 函数。

此修补程序是否消除了原始变体和新变体?
是的。 它消除了所有已知变体。

修补程序可用性

有关此修补程序的其他信息

安装平台:

包含在将来的 Service Pack 中:

  • 这些问题的修补程序将包含在 IE 6.0 Service Pack 1 中。
  • 影响 IE 5.01 Service Pack 2 的问题的修补程序将包含在 Windows 2000 Service Pack 3 中。

需要重新启动:

取代的修补程序:

验证修补程序安装:

  • 若要验证是否已在计算机上安装修补程序,请打开 IE,选择“帮助”,然后选择“关于 Internet Explorer”,并确认“更新版本”字段中列出了Q316059。
  • 若要验证各个文件,请使用知识库文章Q316059中提供的修补程序清单。

注意:

本地化

此修补程序的本地化版本在“修补程序可用性”中讨论的位置可用

获取其他安全修补程序:

可从以下位置获取其他安全问题的修补程序:

  • 安全修补程序可从 Microsoft 下载中心获取,可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
  • WindowsUpdate 网站提供了使用者平台的修补程序。

其他信息:

确认

Microsoft 感谢 以下人员与我们合作来保护客户:

支持

  • Microsoft 知识库文章Q316059、Q317727、Q317726、Q317745、Q317729和Q317742讨论这些问题,并在发布本公告大约 24 小时后提供。 可以在 Microsoft Online 支持网站上找到知识库文章。
  • Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。

安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修改:

  • V1.0(2002 年 2 月 11 日):公告已创建。
  • V1.1(2003 年 5 月 9 日):更新了指向Windows 更新的下载链接。

构建于 2014-04-18T13:49:36Z-07:00</https:>