绿盟安全月刊->第29期->业界动态 微软公布巨型IE补丁

日期：2002-03-18

chinafirst.org.cn
Thomas C Greene
译自theregister

一个影响IE和Outlook Express的六个新的安全漏洞的总集在一个总和的补丁中被解决了，在上周起，这个补丁在TechNet的网站上暂时出现了两次。

第三份公告已经出现几个小时了，所以我们应当猜测一下，并且希望它能够正确工作的。

这个补丁解决了一个严重的缓冲溢出漏洞，它能够让一个攻击者完全控制受害者机器的权利；一另一个漏洞使得攻击者能够浏览在受害者当地驱动器上的文件；一个HTML头部处理漏洞在受害者的机器上放置一个可执行文件，并且将他伪装为一个无害的文本文件；另一个文件头处理漏洞使得一个攻击者在受害者系统中调用一个程序；一个许可漏洞使得一个攻击者即使在用户已经在禁用脚本的时候还能运行脚本；以及一个Document.Open()漏洞使得黑客能够劫持MSN和Windows Messenger。

微软网络承认Messenger的漏洞，并只是说Document.Open()漏洞“仅仅能够被用来阅读文件－－而非创造，改变，删除或者执行文件。”

有趣的是，公司承认了它大幅改进的浏览器中的四个有贡献的人中的两个，可能是因为它不赞同某些宣布他们发现的人的方式和方法。太骄傲而不说感谢，但是并不是意味着太骄傲而不从其他人的工作中受益，微软已经公布了这个建议，以及解决几个不同版本的浏览器问题的链接。