发布日期：2008-12-09
更新日期：2008-12-10

受影响系统：

Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.0 SP4

描述：

---

BUGTRAQ  ID: 32593,32586,32595,32596
CVE(CAN) ID: CVE-2008-4260,CVE-2008-4259,CVE-2008-4261,CVE-2008-4258

Internet Explorer是微软Windows操作系统中默认捆绑的WEB浏览器。

Internet Explorer处理某些导航方法时未正确验证浏览器中方式调用期间所设定的参数，在特定情形下尝试访问未初始化的内存，可能尝试访问已被删除的对象，在将对象嵌入到网页的方式中存在内存破坏。攻击者可以通过构建特制的网页来利用该漏洞。当用户查看网页时，这些漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。

<*来源：Carlo Di Dato
        Brett Moore （brett.moore@SECURITY-ASSESSMENT.COM）
        Chris Weber
  
  链接：http://secunia.com/advisories/33035/
        http://marc.info/?l=bugtraq&m=122886044418528&w=2
        http://marc.info/?l=bugtraq&m=122892676805719&w=2
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=761
        http://www.microsoft.com/technet/security/Bulletin/ms08-073.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA08-344A.html
*>

建议：

---

临时解决方法：

* 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件之前进行提示。    
* 将Internet 和本地Intranet安全区域设置设为“高”，以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。
* 以纯文本格式阅读电子邮件可帮助保护您免受来自HTML电子邮件攻击媒介的攻击。
* 禁止在Internet Explorer中运行COM对象。
* 禁用Web客户端服务。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS08-073）以及相应补丁:
MS08-073：Cumulative Security Update for Internet Explorer (958215)
链接：http://www.microsoft.com/technet/security/Bulletin/ms08-073.mspx?pf=true

浏览次数：3110
严重程度：0（网友投票）