级联样式表 (CSS) 是一种技术,它允许Web作者在 Web 页之间交互进行更多的控制。Internet Explorer中处理 CSS 存在未经检查的缓冲区,导致CSS 堆内存损坏漏洞,使得黑客可以在你的电脑上远程执行代码。黑客可以建立恶意 Web 页或 HTML 电子邮件来利用此漏洞,一旦用户打开网页或邮件,客就可以在你的电脑上远程执行代码,从而完全控制你的电脑。
【解决办法】:WinXP SP2中的Internet Explorer 6没有此漏洞;如果你使用了其他版本的IE,应该安装微软的安全补丁堵住该漏洞。微软在MS04-038公告中发布了该漏洞的安全补丁(下载地址www.microsoft.com/china/technet/security/bulletin/MS04-038.mspx)
2、类似方法名称跨域重定向漏洞
漏洞后果:执行远程代码
Internet Explorer规定:同一个域中的任何打开的窗口可以彼此交互,不同域中的窗口不能彼此交互,例如你访问 www.wingtiptoys.com,且它打开了另一个 Web 站点窗口,跨域安全模型将保护这两个窗口,使其不进行交互。由于Internet Explorer通过具有类似名称的函数处理导航方法,因此IE跨域安全模型中存在漏洞。黑客可以建立恶意 Web 页或 HTML 电子邮件来利用此漏洞,一旦用户打开网页或邮件,黑客即可在 IE的“本地计算机”安全区域中,运行恶意脚本代码或访问不同域中的信息。
【解决办法】:WinXP SP2中的Internet Explorer 6没有此漏洞;如果你使用了其他版本的IE,应该安装微软的安全补丁堵住该漏洞。微软在MS04-038公告中发布了该漏洞的安全补丁(下载地址www.microsoft.com/china/technet/security/bulletin/MS04-038.mspx)
3、安装引擎漏洞
漏洞后果:执行远程代码
Internet Explorer 的安装引擎中存在未经检查的缓冲区,使得inseng.dll 中存在一个远程执行代码漏洞,导致黑客可以在你的电脑上远程执行代码。黑客可以建立恶意 Web 页或 HTML 电子邮件来利用此漏洞,一旦用户打开网页或邮件,就可能允许黑客执行远程代码,从而完全控制你的系统。安装引擎是 Internet Explorer Active Setup 技术的一部分。 Active Setup 允许安装程序从 Internet 接收程序初始化所需的其他文件。
【解决办法】:WinXP SP2 上的Internet Explorer 6没有此漏洞;如果你使用了其他版本的IE,应该安装微软的安全补丁堵住该漏洞。微软在MS04-038公告中发布了该漏洞的安全补丁(下载地址www.microsoft.com/china/technet/security/bulletin/MS04-038.mspx)
4、拖放漏洞
漏洞后果:特权提升
由于Internet Explorer拖放技术未正确验证某些动态 HTML (DHTML) 事件,导致IE具有一个权限提升漏洞,其结果是当你单击某个链接后,恶意文件即可自动下载到你的系统中,而且你还不会收到请求同意下载的对话框。黑客可以建立恶意 Web 页或 HTML 电子邮件来利用此漏洞,一旦用户打开网页或邮件,就可能允许黑客将恶意文件保存在你的系统中,从而完全控制你的系统。DHTML 事件是 DHTML 对象模型提供的特殊操作,这些事件可以用在脚本代码中以将动态内容添加到 Web 站点。
