安全公告
Microsoft 安全公告 MS02-047 - 严重
Internet Explorer 累积修补程序 (Q323759)
发布时间: 2002 年 8 月 22 日 |更新时间:2003 年 2 月 28 日
版本: 1.1
最初发布: 2002 年 8 月 22 日
更新时间: 2003 年 2 月 28 日
总结
谁应阅读此公告: 使用 Microsoft® Internet Explorer 的客户
漏洞的影响: 六个新漏洞,其中最严重的漏洞可能导致攻击者在用户的系统上执行命令。
最大严重性分级: 严重
建议: 客户应立即安装修补程序。
受影响的软件:
- Microsoft Internet Explorer 5.01
- Microsoft Internet Explorer 5.5
- Microsoft Internet Explorer 6.0
常规信息
技术详细信息
技术说明:
这是一个累积修补程序,包括 IE 5.01、5.5 和 6.0 的所有以前发布的修补程序的功能。 此外,它还消除了以下六个新发现的漏洞:
- 影响 Gopher 协议处理程序的缓冲区溢出漏洞。 此漏洞最初在 Microsoft 安全公告 MS02-027 中进行了讨论,该公告在完成此处提供的修补程序时提供了解决方法说明。
- 缓冲区溢出漏洞,影响用于显示特殊格式文本的 ActiveX 控件。 该控件包含缓冲区溢出漏洞,攻击者可以在用户的上下文中对用户的系统运行代码。
- 涉及 Internet Explorer 如何处理显示 XML 数据的 HTML 指令的漏洞。 根据设计,该指令应只允许显示网站本身的 XML 数据。 但是,对于引用的 XML 数据源实际上重定向到不同域中的数据源的情况,它无法正确检查。 此缺陷使攻击者的网页能够打开位于网站可以读取的浏览器窗口中远程系统的基于 XML 的文件,从而使攻击者能够读取用户有权访问但攻击者无法导航到的网站中的内容。
- 涉及 Internet Explorer 如何表示文件下载对话框中文件的源的漏洞。 此缺陷可能使攻击者误报提供下载的文件源,试图欺骗用户接受来自不受信任的源的文件下载,认为该文件来自受信任的源。
- 由于域检查与对象标记结合使用而发生的跨域验证漏洞。 因此,该漏洞可能使恶意网站操作员能够跨不同域访问数据,例如网站域中的一个,另一个位于用户的本地文件系统上,然后将信息从后者传递到前者。 这样,网站操作员就可以读取(但不更改)用户本地计算机上的任何文件,这些文件可以在浏览器窗口中查看。 此外,这还可以使攻击者能够调用本地系统上的可执行文件,但不能将参数传递给本地系统上的可执行文件,这与 MS02-015 中讨论的“通过对象标记进行的本地可执行文件调用”漏洞非常类似。
- 最初在 Microsoft 安全公告 MS02-023 中讨论的“本地 HTML 资源中的跨站点脚本”漏洞的新报告变体。 与原始漏洞一样,此变体可能使攻击者能够创建一个网页,该网页在“本地计算机”区域中运行时,允许其运行的限制比 Internet 区域中的限制要少。
此外,该修补程序设置 Microsoft 安全公告 MS02-022 中讨论的 MSN Chat ActiveX 控件上的终止位,以及 Microsoft 安全公告 MS02-046 中讨论的 TSAC ActiveX 控件。 这样做是为了确保无法将易受攻击的控件引入到用户的系统上。 使用 MSN 聊天控件的客户应确保已应用 MS02-022 中讨论的控件的更新版本,并且使用 TSAC 控件的客户应确保已应用 MS02-046 中讨论的控件的更新版本。
缓解因素:
Gopher 协议处理程序中的缓冲区溢出:
- 该漏洞将为攻击者提供用户在系统上的特权。 因此,在系统上拥有少于完全权限运行的客户的风险较低。
旧版文本格式 ActiveX 控件中的缓冲区溢出:
- 默认情况下,未安装易受攻击的 ActiveX 控件作为当前版本的 IE 的一部分。 了解漏洞后,Microsoft 从其站点中删除了下载内容,以最大程度地减少用户对其系统上拥有控制权的可能性。
- 该漏洞将为攻击者提供用户在系统上的特权。 因此,在系统上拥有少于完全权限运行的客户的风险较低。
- 默认情况下,使用 Outlook Express 6.0 或 Outlook 2002(或 Outlook 98 或 2000 与 Outlook 电子邮件安全更新结合使用)的客户将默认受此漏洞攻击的保护,除非他们专门单击了电子邮件中的链接。
通过重定向读取 XML 文件:
- 该漏洞仅提供读取基于 XML 的文件的功能,这些文件知道其完整路径。
- 该漏洞无法用于添加、更改或删除文件。
- 默认情况下,将 Outlook Express 6.0 或 Outlook 2002(或 Outlook 98 或 2000 与 Outlook 电子邮件安全更新结合使用)的客户通过此漏洞抵御电子邮件传播的攻击。
文件源欺骗:
- 该漏洞不会使攻击者能够直接在系统上放置或运行可执行文件:在成功攻击中需要用户交互。
对象标记中的跨域验证:
- 该漏洞不会使攻击者能够将任何参数传递给可执行程序。 默认情况下,Microsoft 不知道在 Windows 的任何版本中安装的任何程序,如果调用时没有参数,则可用于损害系统。
- 攻击者只能调用受害者本地计算机上的文件。 该漏洞不能用于在远程共享或网站上执行程序。
- 该漏洞不会为攻击者将自己选择的程序置于另一个用户的系统上提供任何方法。
- 攻击者需要知道系统上任何文件的名称和位置才能成功调用它。
- 漏洞只能用于查看或调用文件。 它不能用于创建、删除或修改它们。
- 该漏洞仅允许攻击者读取可在浏览器窗口中呈现的文件,例如图像文件、HTML 文件和文本文件。 无法读取其他文件类型,例如二进制文件、可执行文件、Word 文档等。
- Outlook 98 和 2000(安装 Outlook 电子邮件安全更新后)、Outlook 2002 和 Outlook Express 6 均在受限站点区域中打开 HTML 邮件。 因此,使用这些产品的客户不会受到电子邮件传播攻击的风险。
本地 HTML 资源中的跨站点脚本变体:
- Outlook 98 和 2000(安装 Outlook 电子邮件安全更新后)、Outlook 2002 和 Outlook Express 6 均在受限站点区域中打开 HTML 邮件。 因此,使用这些产品的客户不会受到自动电子邮件传播攻击的风险。 但是,如果选择单击恶意 HTML 电子邮件中的超链接,这些客户仍可能会受到攻击。
- 使用启用了“纯文本阅读”功能的 Outlook 2002 SP1 的客户将不受 HTML 电子邮件攻击的影响。 这是因为此功能在显示邮件时禁用所有 HTML 元素,包括脚本。
- 对用户帐户权限的任何限制也会限制攻击者脚本的操作。
- 在他们访问的网站或将未知或不受信任的网站置于受限网站区域中的用户可能会保护自己免受在 Web 上利用此问题的尝试。
严重性分级:
Gopher 协议处理程序中的缓冲区溢出:
| Internet 服务器 | Intranet 服务器 | 客户端系统 | |
|---|---|---|---|
| Internet Explorer 5.01 | 低 | 低 | 严重 |
| Internet Explorer 5.5 | 低 | 低 | 严重 |
| Internet Explorer 6.0 | 低 | 低 | 严重 |
旧版文本格式 ActiveX 控件中的缓冲区溢出:
| Internet 服务器 | Intranet 服务器 | 客户端系统 | |
|---|---|---|---|
| Internet Explorer 5.01 | 低 | 低 | 严重 |
| Internet Explorer 5.5 | 低 | 低 | 严重 |
| Internet Explorer 6.0 | 低 | 低 | 严重 |
通过重定向读取 XML 文件:
| Internet 服务器 | Intranet 服务器 | 客户端系统 | |
|---|---|---|---|
| Internet Explorer 5.01 | 低 | 低 | 中等 |
| Internet Explorer 5.5 | 低 | 低 | 中等 |
| Internet Explorer 6.0 | 低 | 低 | 中等 |
文件源欺骗:
| Internet 服务器 | Intranet 服务器 | 客户端系统 | |
|---|---|---|---|
| Internet Explorer 5.01 | 适中 | 适中 | 适中 |
| Internet Explorer 5.5 | 适中 | 适中 | 适中 |
| Internet Explorer 6.0 | 适中 | 适中 | 适中 |
对象标记中的跨域验证:
| Internet 服务器 | Intranet 服务器 | 客户端系统 | |
|---|---|---|---|
| Internet Explorer 5.01 | 无 | None | 无 |
| Internet Explorer 5.5 | 适中 | 适中 | 严重 |
| Internet Explorer 6.0 | 适中 | 适中 | 严重 |
本地 HTML 资源中的跨站点脚本变体:
| Internet 服务器 | Intranet 服务器 | 客户端系统 | |
|---|---|---|---|
| Internet Explorer 5.01 | 低 | 低 | 中等 |
| Internet Explorer 5.5 | 低 | 低 | 中等 |
| Internet Explorer 6.0 | 无 | None | 无 |
此修补程序中包含的所有问题的聚合严重性(包括以前发布的修补程序中已解决的问题):
| Internet 服务器 | Intranet 服务器 | 客户端系统 | |
|---|---|---|---|
| Internet Explorer 5.01 | 适中 | 适中 | 严重 |
| Internet Explorer 5.5 | 严重 | 严重 | 严重 |
| Internet Explorer 6.0 | 严重 | 严重 | 严重 |
上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。
漏洞标识符:
- Gopher 协议处理程序中的缓冲区溢出: CAN-2002-0646
- 旧版文本格式 ActiveX 控件中的缓冲区溢出: CAN-2002-0647
- 通过重定向读取 XML 文件: CAN-2002-0648
- 文件源欺骗: CAN-2002-0722
- 对象标记中的跨域验证: CAN-2002-0723
- 本地 HTML 资源中的跨站点脚本变体: CAN-2002-0691
测试的版本:
下表指示哪些当前受支持的 Internet Explorer 版本受漏洞影响。 5.01 Service Pack 2 之前的 IE 版本不再有资格获得修补程序支持。 仅在 Windows® 2000 上支持 IE 5.01 SP2。
| IE 5.01 SP2 | IE 5.5 SP1 | IE 5.5 SP2 | IE 6.0 | |
|---|---|---|---|---|
| Gopher 协议处理程序中的缓冲区溢出(CAN-2002-0646) | 是 | 是 | 是 | 是 |
| 旧版文本格式 ActiveX 控件中的缓冲区溢出(CAN-2002-0647) | 是 | 是 | 是 | 是 |
| 通过重定向读取 XML 文件 (CAN-2002-0648) | 是 | 是 | 是 | 是 |
| 文件源欺骗 (CAN-2002-0722): | 是 | 是 | 是 | 是 |
| 对象标记中的跨域验证 (CAN-2002-0723) | 否 | 是 | 是 | 是 |
| 本地 HTML 资源中的跨站点脚本变体 (CAN-2002-0691) | 是 | 是 | 是 | 否 |
常见问题解答
此修补程序消除了哪些漏洞?
这是一个累积修补程序,其中包含 Internet Explorer 以前发布的所有修补程序的功能。 此外,该修补程序消除了六个新报告的漏洞:
- 最初在 Microsoft 安全公告 MS02-027 中讨论的漏洞,使攻击者能够在系统合法用户可能采取的另一个系统上的任何操作。
- 使攻击者能够在用户上下文中对用户的系统运行代码的漏洞
- 在某些情况下可能使攻击者能够读取其他用户系统上的某些类型的数据文件的漏洞
- 一个漏洞,使攻击者能够歪曲提供下载的文件的来源。
- 可能导致恶意网站操作员读取但不更改用户本地计算机上的任何文件(可能通过浏览器窗口查看)的漏洞。 此外,此漏洞使攻击者能够调用本地系统上的可执行文件,但不向其传递参数。
- 最初在 Microsoft 安全公告 MS02-023 中讨论的漏洞的新变体,可让攻击者导致脚本在本地计算机区域中运行。
修补程序是否包含任何其他更改?
是的。 该修补程序可确保不能使用作为 Microsoft 安全公告 MS02-022 主题的组件,并确保不能使用作为 Microsoft 安全公告 MS02-046 主题的 TSAC 控件。 这样做是为了防止将这些组件重新引入到用户的系统上。 此处的组件与 MSN 聊天、TSAC 相关联;使用 MSN 聊天且尚未安装 MS02-022 中提供的修补程序的客户应在安装此修补程序之前执行此操作,并且使用 TSAC 且尚未安装 MS02-046 中提供的修补程序的客户应在安装此修补程序之前执行此操作。
Gopher 协议处理程序中的缓冲区溢出(CAN-2002-0646):
第一个漏洞的范围是什么?
此漏洞最初是通过 Microsoft 安全公告 MS02-027 宣布的。 如公告中所述,漏洞可能使攻击者能够对用户自己可以采取的用户系统执行任何操作。 攻击者可能采取的操作示例包括加载和运行程序、将数据从用户系统发送到网站、重新格式化硬盘驱动器等。 可以通过以下两个向量之一利用漏洞:在网站上托管专门构造的网页,或者将此类网页作为 HTML 邮件发送给其他用户。
最初宣布漏洞时,Microsoft 提供了一种解决方法,客户可以使用该解决方法来保护其系统。 现已提供完整的修补程序,并包含在此修补程序中。
Microsoft 安全公告 MS02-027 中提供的漏洞说明是否仍然准确?
是的。 Microsoft 安全公告 MS02-027 中的信息仍表示对漏洞及其构成风险的完整说明。
修补程序如何消除漏洞?
该修补程序通过在 Gopher 协议处理程序中设置适当的缓冲区处理来消除漏洞。 它还默认禁用 Gopher 协议的使用。
为什么修补程序禁用 Gopher?
目前很少有客户使用 Gopher。 使用 Gopher 的客户可以轻松启用它,但对于大多数用户,最适当的默认条件是禁用协议。
我确实使用 Gopher。 安装修补程序后,如何实现重新启用支持?
首先,如果遵循 Microsoft 安全公告 MS02-027 中的解决方法说明,则需要撤消这些更改。 Microsoft 知识库文章 Q326185 提供了执行此操作的说明。
接下来,需要设置以下注册表项才能通过修补程序启用 Gopher:
| 配置单元 | 密钥 | 类型 | 值 |
|---|---|---|---|
| HKEY_CURRENT_U标准版R | Software\Microsoft\Windows\CurrentVersion\Internet 设置\EnableGopher | DWord | 00000001 |
安装修补程序后,是否应撤消 MS02-027 中讨论的解决方法?
不需要扭转解决方法,但如果需要,可以。 Microsoft 知识库文章 Q326185 提供了执行此操作的说明。
旧版文本格式 ActiveX 控件中的缓冲区溢出(CAN-2002-0647):
第二个漏洞的范围是什么?
这是 缓冲区溢出 漏洞。 成功利用它的攻击者可以获得对用户自己可以采取的任何操作的能力。 这可以使攻击者能够运行程序、与网站通信、重新格式化硬盘驱动器或采取其他操作。 攻击者可能尝试通过以下两种途径之一利用漏洞:在网站上托管专门构造的网页,或将此类网页作为 HTML 邮件发送给其他用户。
该漏洞受到以下几个约束:
- 默认情况下,未将易受攻击的 ActiveX 控件安装为 Internet Explorer 的一部分,但在首次使用时会自动从 Microsoft 网站下载。 Microsoft 已从其站点中删除该控件,以防止将来下载。
- Outlook Express 6.0、Outlook 98 和 Outlook 2000 以及 Outlook 电子邮件安全更新以及 Outlook 2002 默认在受限站点区域中的所有阅读邮件。 默认情况下,ActiveX 控件在该区域中处于禁用状态,因此使用这些产品的客户不会受到 HTML 电子邮件攻击的风险。
导致漏洞的原因是什么?
漏洞结果是因为用于某些类型文本格式的过时 ActiveX 控件包含未检查缓冲区。 如果以特定方式由网站调用,则缓冲区可能会溢出,因此攻击者可能导致控制对用户的系统执行操作。
什么是 ActiveX 控件?
首先讨论 ActiveX 技术。 ActiveX 允许开发人员编写小型自包含软件模块,每个模块执行单个任务或少量相关任务。 这样做的优点是,其他程序可以调用模块,从而避免需要这些程序自行实现软件。
我们引用的模块更恰当地称为 ActiveX 控件。 Internet Explorer 是使用这些程序的许多程序之一。 ActiveX 控件可用于实现各种可用于 Web 浏览的函数。 在这种情况下,漏洞位于一个这样的 ActiveX 控件中。
包含漏洞的 ActiveX 控件是什么?
该漏洞位于 ActiveX 控件中,该控件使网页能够以各种格式显示文本。 随着 DHTML 的出现,一种使网站能够轻松自动化和动画的技术,不再需要该控件。 但是,保留后向兼容性。
控制是否作为 Internet Explorer 的一部分提供?
否。 该控件托管在 Microsoft 网站上,从该位置开始,该控件将在第一次需要时自动下载。
控件有什么问题?
该控件包含未检查缓冲区。 如果使用特定类型的格式不正确的输入值进行调用,则缓冲区可能会溢出。 实际上,效果是更改控件的功能,并使其采取新操作,而不是编程采取这些操作。
此漏洞会使攻击者能够执行哪些操作?
攻击者可以使用此漏洞对其他用户的计算机执行操作。 根据攻击者如何完全接管缓冲区,他或她可能导致控制采取合法用户可能采取的任何所需操作。 这可能包括从远程站点下载程序并运行程序、将数据从用户系统发送到网站或直接重新格式化硬盘驱动器等操作。
另一方面,如果用户没有对特定操作执行的权限,攻击者也不会这样做。 因此,在其系统上拥有少于管理员特权的客户将面临更少的风险。
攻击者如何利用漏洞?
攻击者需要构造一个网页,该网页调用控件并提供上述格式不正确的输入值。 然后,攻击可能通过两个向量之一进行。 首先,攻击者可以在网站上托管网页;当用户访问该网站时,网页将尝试运行控件并利用漏洞。 第二个,攻击者可以将网页作为 HTML 邮件发送。 收件人打开后,网页可能会尝试运行控件并利用漏洞。
你说网页可能会“尝试”运行控件。 将如何确定此尝试是否成功?
两个因素将确定攻击是否成功:
- 控件是否存在于用户的系统上。 如果系统上没有控件,则无法调用它。 如上所述,Internet Explorer 通常会尝试在网页请求控件时自动下载控件。 但是,在了解此漏洞后,Microsoft 从其下载站点中删除了该控件,以便最大程度地减少在其系统上拥有控制权的用户数。
- 是否允许 ActiveX 控件在用户系统上运行。 Internet Explorer 安全区域 机制提供了一种规范各种网站可以采取哪些操作的方法,其中包括是否可以运行 ActiveX 控件。 默认情况下,受限站点区域中的网页无法运行 ActiveX 控件。 事实证明,对于通过 HTML 邮件向量的攻击,这尤其重要。
为什么?
默认情况下,Outlook Express 6.0 和 Outlook 2002 在受限站点区域中打开 HTML 邮件。 此外,如果 已安装 Outlook 电子邮件安全更新 ,Outlook 98 和 2000 在受限站点区域中打开 HTML 邮件。 使用这些产品中的任何客户不会受到电子邮件攻击途径的风险。
修补程序如何消除漏洞?
该修补程序通过在受影响的 ActiveX 控件上设置“终止位”来消除漏洞。 此操作在 Microsoft 知识库文章 Q240797中更详细地进行了讨论,其效果是阻止在 Internet Explorer 中执行特定 ActiveX 控件,而不考虑系统上的安全设置。
通过重定向读取 XML 文件(CAN-2002-0648):
第三个漏洞的范围是什么?
此漏洞可能使攻击者能够从其他用户的系统读取特定类型文件的整个内容和其他类型的片段。 可以通过以下两个向量之一利用漏洞:在网站上托管专门构造的网页,或将网页作为 HTML 邮件发送。 该漏洞受多种限制:
- 攻击者需要知道文件的确切路径和文件名(或猜测)。
- 只有某些类型的文件才能通过漏洞(特别是基于 XML 的文件)读取。
- 漏洞只能用于读取文件。 它不能用于添加、更改或删除它们。
- 默认情况下,如果 安装了 Outlook 电子邮件安全更新 ,则 Outlook Express 6 和 Outlook 2002 以及 Outlook 98 和 2000 不会容易受到电子邮件传播矢量的攻击。
导致漏洞的原因是什么?
此漏洞是由于 Internet Explorer 处理某些请求来显示 XML 内容的方式存在缺陷而产生的。 根据设计,Internet Explorer 应仅在数据驻留在网站上时才显示数据;但是,实际上,数据源可以重定向到远程系统上的文件,因此网站可以读取属于远程系统的 XML 内容(在某些情况下,其他类型的片段)。
什么是 XML?
可扩展标记语言或 XML 是一种数据格式,为不同的应用程序提供共享数据的方法。 各种用途的数据可以存储为 XML 数据,并由其他程序使用。 Internet Explorer 提供允许其显示和使用 XML 数据的功能。 但是,其中一项功能包含安全漏洞。
Internet Explorer 处理 XML 数据的方式有什么问题?
Internet Explorer 提供用于处理 XML 数据的功能之一是允许它在网站上打开 XML 数据文件并在浏览器窗口中显示内容。 但是,该缺陷使得网站可以在浏览器窗口中打开远程系统上的 XML 文件。 具体而言,此处的问题功能检查以确保网页请求驻留在同一网站上的数据源,但不检查以确保数据源不会重定向。
你所说的“重定向”是什么意思?
在许多网站上,随着开发并交付新内容,新网页经常来来去去。 当用户请求不再存在的页面时,处理情况的一种方法是只发送“找不到页面”错误。 但是,通常最好将用户无缝发送到替换他们请求的内容。
重定向提供了执行此操作的方法。 例如,网站操作员可以设置重定向,以便在用户请求网页 A 时,它们实际上是为网页 B 提供服务的。对于此漏洞,问题会导致问题,因为网页中指定的 XML 数据源实际上可能已重定向到用户计算机上的文件。 Internet Explorer 无法正确处理这种情况,会导致违反 Internet Explorer 跨域安全模型。
Internet Explorer 跨域安全模型是什么?
浏览器的主要安全功能之一是确保网站只能看到属于它们的数据。 为了强制实施此限制,Internet Explorer 实现“域”的概念。 简单地说,域是一个安全边界。 网站可以从位于网站域内的任何浏览器窗口中读取数据,也就是说,该窗口对网站上的页面处于打开状态。 但是,它不应能够从任何其他域读取数据。
在这种情况下,对网站打开的窗口位于网站的域中,因此网站可以读取其中的任何数据。 但缺陷允许从远程系统网站而不是初始网站读取 XML 数据。 网站可以从其他域(即远程网站)读取数据这一事实违反了跨域安全性。
此漏洞使攻击者能够执行哪些操作?
此漏洞可能导致攻击者在其他远程系统上读取 XML 数据文件。 此外,攻击者可以读取非 XML 文件的片段-尽管此功能将非常有限的网站,用户无法导航到。
攻击者如何利用此漏洞?
攻击者需要构造一个网页,该网页打开据称驻留在服务器上的 XML 文件,然后将放置 XML 文件重定向到远程系统上的位置。 然后,攻击可能通过两个向量之一进行。 首先,攻击者可以在网站上托管网页。 第二种情况是,攻击者只能在邮件中向网页发送链接。在打开网页时,Internet Explorer 会在位于网站的域内的浏览器窗口中打开用户系统上的文件。 然后,页面可以读取数据并将其发送到网站。
攻击者如何知道 XML 文件驻留在远程系统上的位置?
在大多数情况下,攻击者不会知道此信息。 他或她需要知道或猜测有关用户系统上 XML 文件位置的重要信息。
攻击者是否可以更改用户系统上的数据?
否。 漏洞只会使攻击者能够读取数据,而不是更改、添加或删除数据。
某些电子邮件客户端的风险会低于邮件传播攻击途径中的其他人的风险吗?
是的。 与上述情况一样,使用 Outlook Express 6.0 或 Outlook 2002 的客户,或者将 Outlook 98 或 2000 与 Outlook 电子邮件安全更新结合使用的客户的风险要小得多。 在所有这些情况下,HTML 邮件默认在受限站点区域中打开,这将阻止漏洞被利用。
修补程序如何消除漏洞?
修补程序会更改包含漏洞的功能,并导致它拒绝打开网站外部重定向的任何 XML 数据。
文件源欺骗 (CAN-2002-0722):
第四个漏洞的范围是什么?
此漏洞可能导致文件下载对话框中出现错误的源。 攻击者可能会利用此漏洞,试图愚弄用户从不受信任的源下载文件,认为该文件源自受信任的源。
此漏洞不提供攻击者更改文件下载行为的方法。 具体而言,用户仍必须接受下载。 但是,由于为下载提供的文件的可信度应基于文件的源,因此此漏洞可使攻击者通过向用户提供虚假信息来破坏该信任决策的健全性。
导致漏洞的原因是什么?
由于处理特殊格式的 URL 链接时,IE 如何确定发起服务器的 URL 时出现此漏洞。 具体而言,如果 IE 文件下载对话遇到某些特殊字符,它将停止显示正确的下载位置。 通过仔细创建指向下载文件的 URL,攻击者可能会导致 IE 显示文件的误导源 -用户可能选择信任的 URL。
文件下载对话处理文件源的方式有什么问题?
当 URL 链接启动下载时,IE 会执行处理来显示要下载的文件的名称和来源。 然后,当 IE 显示一个对话框,询问用户是保存文件、打开文件还是取消下载时,会向用户显示这些内容。 然后,用户可以根据显示的位置评估文件的可信度,并采取适当的措施。
当下载 URL 格式特别不正确时,IE 如何确定要显示的源名称存在缺陷。 具体而言,可能会导致文件下载对话框中显示错误的源。 例如,攻击者可以在 www.untrustedsite.com 上托管文件,但它会显示在文件下载对话框中,该文件源自 www.trustedsite.com。
这会使攻击者能够做什么?
这可能会使攻击者欺骗用户对 Internet 上提供下载的文件做出无效的信任决策。 由于文件的可信度应基于文件的源,因此此漏洞提供了一种手段,攻击者可以通过为该决策提供虚假信息来欺骗用户做出无效的信任决策。 因此,用户可能会被欺骗接受来自用户认为是受信任来源的文件,事实上,它实际上源自不受信任的源。
攻击者如何寻求利用此漏洞?
攻击者可以通过使用特制 URL 创建网页来尝试利用此漏洞。 然后,攻击者可以在网站上发布它,或将其作为 HTML 电子邮件发送给用户。
网页能否自动启动此类下载?
是的。 根据设计,网页始终可以启动文件下载。 但是,必须具体说明这意味着什么。 用户仍控制下载是否继续。 也就是说,文件下载启动后,将显示“文件下载”对话框,并且用户有机会取消下载。 漏洞中没有任何内容使攻击者能够阻止用户在下载对话框中选择“取消”。
如果用户确实选择让下载继续,会发生什么情况?
这取决于用户的选择。 文件下载对话框中的默认选择是将文件保存到用户在系统上选择的位置。 如果用户选择此选项,该文件将存储在系统上,但仅在用户稍后找到该文件并故意运行该文件时才运行。 另一方面,如果用户选择打开它的选项,程序将执行。
修补程序的作用是什么?
修补程序通过确保 IE 正确确定文件下载的源并正确显示来解决漏洞。
对象标记中的跨域验证(CAN-2002-0723):
第五个漏洞的范围是什么?
这是一个漏洞,它允许一个网站访问另一个域中的信息,包括本地系统。 因此,网站可以读取可在浏览器中呈现的本地文件系统上的文件,或者在本地文件系统上调用可执行文件。
读取有关本地文件系统的信息的功能听起来类似于 MS02-005 中讨论的“帧域验证”漏洞,这是其中一种变体吗?
否。 导致此漏洞的缺陷不同于导致“帧域验证”漏洞的缺陷。 但是,这两个漏洞的范围本质上是相同的。 在这两种情况下,漏洞都可用于读取可在浏览器中呈现的本地系统上的文件,前提是攻击者知道完整路径和文件名。
调用可执行文件的功能听起来类似于 MS02-015 中“通过对象标记调用的本地可执行文件调用”漏洞的范围。 这是该漏洞的变体吗?
否。 导致此漏洞的缺陷不同于导致“通过对象标记进行本地可执行调用”漏洞的缺陷。 但是,这两个漏洞具有相同的范围:攻击者可以使用此漏洞调用系统上已有的应用程序。
适用于此漏洞的“帧域验证”漏洞的缓解因素吗?
是的。 约束“帧域验证”漏洞的相同缓解因素适用于此漏洞
适用于此漏洞的“通过对象标记进行本地可执行文件调用”漏洞的缓解因素吗?
是的。 约束“通过对象标记进行本地可执行文件调用”漏洞的相同缓解因素适用于此漏洞。
导致漏洞的原因是什么?
当对象标记以特定方式使用时,由于域验证不当,导致漏洞。
在哪里可以找到有关帧域验证漏洞的详细信息?
Microsoft 安全公告 MS00-033、 MS00-055、 MS00-093、 MS01-015 和 MS01-058 详细讨论了漏洞。
在哪里可以找到有关通过对象标记进行本地可执行文件调用的详细信息?
Microsoft 安全公告 MS02-015详细讨论了漏洞。
Internet Explorer 的所有版本是否都受到漏洞的影响?
Internet Explorer 5.5 和 6 均受漏洞影响。 Internet Explorer 5.01 不受此漏洞的影响。
修补程序如何解决漏洞?
在调用对象标记时,修补程序会检查适当的域。
本地 HTML 资源中的跨站点脚本变体(CAN-2002-0691):
第六个漏洞的范围是什么?
这是最初在 Microsoft 安全公告 MS02-023 中讨论的漏洞的新变体。 与原始变体一样,能够成功利用此漏洞的攻击者可能会导致 HTML 脚本像在用户系统上本地运行一样执行。 因此,脚本可以在本地系统上执行任何操作,就好像在本地运行一样。
此新变体与 MS02-023 中讨论的原始变体之间是否有任何差异?
否。 开发的范围、效果和常规方法与原始变体的范围、效果和常规方法相同。
Internet Explorer 的所有版本是否都受到漏洞的影响?
Internet Explorer 5.01、5.5 和 6 均受漏洞影响。 但是,Microsoft 安全公告 MS02-023 中提供的修补程序消除了 Internet Explorer 6 的原始变体和新变体。
修补程序是否消除了原始变体和新变体?
是的。
修补程序可用性
下载此修补程序的位置
有关此修补程序的其他信息
安装平台:
- IE 5.01 修补程序可应用于运行 IE 5.01 的 Service Pack 2 或运行 IE 5.01 的 Service Pack 3 的 Windows 2000 系统。
- 可以在运行 IE 5.5 Service Pack 1 或 Service Pack 2 的系统上安装 IE 5.5 修补程序。
- 可以在运行 IE 6.0 Gold 的系统上安装 IE 6.0 修补程序。
包含在将来的 Service Pack 中:
- 这些问题的修补程序将包含在 IE 6.0 Service Pack 1 中。
- 影响 IE 5.01 Service Pack 2 和 Service Pack 3 的问题的修补程序将包含在 Windows 2000 Service Pack 4 中。
需要重新启动: 是
可以卸载修补程序: 否
取代的修补程序:
此修补程序取代了 Microsoft 安全公告 MS02-023 中提供的修补程序,该公告本身是累积修补程序,以及 Microsoft 安全公告 MS02-027 中讨论的解决方法。
验证修补程序安装:
- 若要验证是否已在计算机上安装修补程序,请打开 IE,选择“帮助”,然后选择“关于 Internet Explorer”,并确认“更新版本”字段中列出了Q323759。
- 若要验证各个文件,请使用知识库文章Q323759中提供的修补程序清单。
注意:
无
本地化:
此修补程序的本地化版本在“修补程序可用性”中讨论的位置可用。
获取其他安全修补程序:
可从以下位置获取其他安全问题的修补程序:
- 安全修补程序可从 Microsoft 下载中心获取,可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
- WindowsUpdate 网站提供了使用者平台的修补程序
其他信息:
确认
Microsoft 感谢 以下人员与我们合作来保护客户:
- 用于通过重定向漏洞报告 XML 文件读取的灰色Magic Software 。
- 下一代安全软件有限公司的 Mark Litchfield,用于报告旧版文本格式 ActiveX 控件漏洞中的缓冲区溢出。
- Oy Online Solutions Ltd 的 Jouko Pynnonen 报告文件来源欺骗漏洞。
支持:
- Microsoft 知识库文章Q323759讨论此问题,此公告发布后大约 24 小时可用。 可以在 Microsoft Online 支持网站上找到知识库文章。
- Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。
安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
免责声明:
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- V1.0(2002 年 8 月 22 日):公告已创建。
- V1.1(2003 年 2 月 28 日):更新了指向Windows 更新的下载链接。
构建于 2014-04-18T13:49:36Z-07:00</https:>