[转贴]：IE再现4大高危漏洞WindowsXP SP2亦难逃一劫

whwhq

2004年07月15日11:32:16　太平洋电脑网　

　　安全专家昨天发表公告声称，它们又在微软的IE浏览器上发现了4个新的漏洞，并将这些漏洞的威胁等级列为“极度危急”。

　　 根据安全专家的安全公告，IE浏览器的四个最新漏洞分别是：

　　 1、IE可能将某一功能重新导向为名称相同的其他功能，这将允许恶意站点绕过正常的安全限制访问系统的某项功能。成功的实验案例证实攻击者可以在其他网站的内容上运行任意代码，也可能可以在其他安全区上运行任意代码。

　　 2、恶意站点可以欺骗用户执行某项操作，如拖放或随意点击某些资源。成功的实验案例证实恶意网站可任意在脆弱的系统上添加“收藏夹”链接。

　　 3、攻击者可以在收藏夹的“频道”链接上注入任意脚本代码，当增加“频道”时代码就会在“本机安全区”内容中执行。

　　 4、攻击者可以使用“Window.createPopup()”在任何其他窗口和对话框上放置任意内容，从而改变相应对话框和窗口的外观。

　　 安全专家同时还警告说，另外一个允许恶意站点使用锚参考在用户本机安全区上添加脚本的漏洞也已被证实影响到运行于Windows XP SP2（RC版和Beta版）的IE 6浏览器，不过应用了所有补丁的Windows XP SP1操作系统可能不会受其影响。

　　 安全专家表示，攻击者可以利用IE上述四个最新漏洞侵占脆弱的系统。现在已证实受影响的IE浏览器包括IE 5.01、5.5和6，而且较旧版本的IE也可能存在类似的漏洞。安全专家提供的解决方案是禁用Active脚本或使用IE之外的浏览器。