Microsoft IE多个跨域信息泄露和内存破坏漏洞(MS08-058)

2008-10-22T00:00:00
ID SSV:4267
Type seebug
Reporter Root
Modified 2008-10-22T00:00:00

Description

BUGTRAQ ID: 31615,31616,31654,31618 CVE(CAN) ID: CVE-2008-3472,CVE-2008-3473,CVE-2008-3474,CVE-2008-3476

Internet Explorer是Windows操作系统中捆绑的非常流行的WEB浏览器。

Internet Explorer中的多个安全漏洞可能允许恶意攻击者执行跨站脚本攻击,完全入侵用户的系统。

1) 处理某些HTML元素或事件时的漏洞可能导致Internet Explorer错误的解释脚本来源,导致以其他域或安全区的环境执行脚本代码,或允许脚本访问另一个域或Internet Explorer区域中的浏览器窗口。

2) 在特定情形下尝试访问未初始化的内存允许在Internet Explorer中执行代码。

Microsoft Internet Explorer 7.0 Microsoft Internet Explorer 6.0 SP1 Microsoft Internet Explorer 6.0 Microsoft Internet Explorer 5.0.1 SP4 临时解决方法:

  • 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件之前进行提示。
  • 将Internet 和本地Intranet安全区域设置设为“高”,以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。

厂商补丁:

Microsoft

Microsoft已经为此发布了一个安全公告(MS08-058)以及相应补丁: MS08-058:Cumulative Security Update for Internet Explorer (956390) 链接:<a href=http://www.microsoft.com/technet/security/Bulletin/MS08-058.mspx?pf=true target=_blank>http://www.microsoft.com/technet/security/Bulletin/MS08-058.mspx?pf=true</a>