发布日期：2008-10-14
更新日期：2008-10-21

受影响系统：

Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.0.1 SP4

描述：

---

BUGTRAQ  ID: 31615,31616,31654,31618
CVE(CAN) ID: CVE-2008-3472,CVE-2008-3473,CVE-2008-3474,CVE-2008-3476

Internet Explorer是Windows操作系统中捆绑的非常流行的WEB浏览器。

Internet Explorer中的多个安全漏洞可能允许恶意攻击者执行跨站脚本攻击，完全入侵用户的系统。

1) 处理某些HTML元素或事件时的漏洞可能导致Internet Explorer错误的解释脚本来源，导致以其他域或安全区的环境执行脚本代码，或允许脚本访问另一个域或Internet Explorer区域中的浏览器窗口。

2) 在特定情形下尝试访问未初始化的内存允许在Internet Explorer中执行代码。

<*来源：David Bloom
        Gregory Rubin
        Thierry Zoller
  
  链接：http://secunia.com/advisories/30851/
        http://www.microsoft.com/technet/security/Bulletin/MS08-058.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA08-288A.html
*>

建议：

---

临时解决方法：

* 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件之前进行提示。
* 将Internet 和本地Intranet安全区域设置设为“高”，以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS08-058）以及相应补丁:
MS08-058：Cumulative Security Update for Internet Explorer (956390)
链接：http://www.microsoft.com/technet/security/Bulletin/MS08-058.mspx?pf=true

浏览次数：2833
严重程度：0（网友投票）