服务器 频道

服务器、网络安全:每周漏洞播报

    【IT168 报道】IT168服务器频道本周的服务器(网络)安全漏洞及解决方案播报又和您见面了。

1、 Internet Explorer 的累积性安全更新 (896727)

CVE编号: CAN-2005-1988,CAN-2005-1989,CAN-2005-1990

发布时间: 2005-08-9

漏洞类型:远程执行代码

漏洞评估:紧急风险

受影响版本:

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003(用于基于 Itanium 的系统)和 Microsoft Windows Server 2003 SP1(用于基于 Itanium 的系统)
Microsoft Windows Server 2003 x64 Edition

漏洞描述:

    漏洞包括:
    1) JPEG图像呈现内存损坏漏洞(CAN-2005-1988)
    Internet Explorer 由于其处理 JPEG 图像的方式而存在一个远程执行代码漏洞。 攻击者可以通过构建恶意的 JPEG 图像来利用此漏洞,如果用户访问了恶意网站或查看了恶意的电子邮件,此漏洞就可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。

    2) 跨域Web文件夹行为漏洞(CAN-2005-1989)
    Internet Explorer 中存在跨域漏洞,可能导致信息泄露或在受影响的系统上远程执行代码。 攻击者可以通过构建恶意的网页来利用该漏洞。 如果用户查看了恶意网页,恶意网页可能潜在地允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 不过,要利用此漏洞,需要进行大量用户交互和社会工程。

    3) COM对象实例化内存损坏漏洞(CAN-2005-1990)
    Internet Explorer 实例化并不适合在 Internet Explorer 中使用的 COM 对象的方式中存在远程执行代码漏洞。 攻击者可以通过建立恶意网页来利用此漏洞,如果用户访问了恶意网站,可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。

解决方案:

    客户应立即应用此更新。

参考信息:

http://www.microsoft.com/china/technet/security/bulletin/MS05-038.mspx

0
相关文章