MS01 055: Internet 浏览器 Cookie 数据可公开或更改通过脚本注入

文章翻译 文章翻译
文章编号: 312461 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

ie 版本 5.5 和 6 中可能允许恶意用户可以创建允许 Web 站点来获取您的计算机上存储的 cookie 的未经授权的访问权限的 URL,然后 (可能) 修改包含在它们中的值中存在一个潜在的安全漏洞。因为某些 Web 站点使用存储在您要存储敏感信息的计算机上的 cookie,也可能是个人信息可能会公开。

恶意利用此漏洞需要用户选择单击在一个网页上,该攻击者有驻留在他或她网站上网页的 URL 链接,或单击一个嵌入在 HTML 电子邮件的攻击者已发送的 URL 链接。不能自动调用而无需用户交互。

) 的缓解因素

  • 访问了恶意网站或打开包含该格式不正确的 URL 的 HTML 电子邮件,必须首先确定用户。用户必须单击某个特殊格式的 URL 链接选择。
  • 在 HTML 电子邮件利用此漏洞不会影响已应用 Microsoft Outlook 电子邮件安全更新的用户。
  • Outlook Express 以使用受限制的站点区域设置的用户不受该 HTML 电子邮件利用此漏洞的影响。请注意这是默认设置为 Microsoft Outlook Express 6。

解决方案

要点: 此修补程序要求使用 cookie 的域必须只具有字母数字字符 (或-或) 中的域名称。 如果它们不 cookie 可能无法正常工作。

Internet 6 Explorer

若要解决此问题,获得最新的 service pack,Internet 浏览器 6。有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
328548如何获取最新的 Internet 浏览器 6 服务包
2001 年 12 月 13 安全更新"修补程序由以下修补程序取代:
316059Internet Explorer MS02 005: 2002 年 2 月 11 累积修补程序
安全更新",2001 年 12 月 13 修补程序是可在下面的 Microsoft 网站:
http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=313675&DisplayLang=en

ie 5.5

现在可以从 Microsoft,获得一个受支持的修复程序,但它只用于解决本文所述的问题。它只能应用于计算机在确定存在攻击的风险。评估您计算机的物理可访问性、 网络和 Internet 连接以及其他因素,以便确定您的计算机的风险的程度。请参阅相关的 Microsoft Security Bulletin,以帮助您确定的风险程度。此修复程序可能还会接受进一步的测试。如果您的计算机的风险程度较高,Microsoft 建议您立即应用此修复程序。否则,等待下一个包含此修复程序的 Internet 浏览器 5.5 服务包。

要立即解决此问题,请按照本文中稍后介绍的说明下载此修补程序,或与 Microsoft 产品支持服务联系以获取此修复程序。有关 Microsoft 产品支持服务电话号码和关于支持费用的信息的完整列表,请访问下面的 Microsoft 网站:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
: 在特殊的情况通常会导致支持电话的费用可能会被取消如果 Microsoft 支持专业人员确定某个特定更新才能解决您的问题。将正常收取支持费用将应用于其他支持问题和不需要进行专门更新的问题。

2001 年 12 月 13 安全更新"修补程序由以下修补程序取代:
316059Internet Explorer MS02 005: 2002 年 2 月 11 累积修补程序
安全更新",2001 年 12 月 13 修补程序是可在下面的 Microsoft 网站:
http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp

注意: 若要防止计算机重新启动安装过程中添加了"/ r: n"(不带引号) 切换到 Q312461.exe 文件,当您安装此修补程序。

替代方法

要变通解决此问题,您可以禁用活动脚本在 Internet Explorer 中的 Internet 和 Intranet 区域中。若此漏洞被用在使用 Outlook Express 的 HTML 呈现功能时,您应该配置 Outlook Express 使用受限站点区域。

禁用活动脚本在 Internet Explorer 中

  1. 启动 Internet Explorer。
  2. 工具 菜单上单击 Internet 选项
  3. 安全 选项卡上单击 自定义级别
  4. 设置 框中单击 活动脚本Java 小程序脚本 下的 禁用
  5. 单击 确定,然后单击 确定
: 如果您禁用活动脚本在 Internet Explorer 中,并且您使用 Microsoft Outlook Web Access (OWA) 作为电子邮件客户端可能会丢失某些 OWA 功能。若要保留在 OWA 中的全部功能,不要禁用活动脚本在 Internet Explorer 中。

启用 Outlook Express 中的受限的站点

  1. 启动 Outlook Express。
  2. 工具 菜单上单击 选项
  3. 单击 安全 选项卡并单击 受限制的站点区域 (更安全),然后单击 确定
: 有关站点已被禁用,或者通过关闭活动脚本更改它们的功能,将该网站添加到受信任的站点区域可以启用这些站点。以此方式输入的所有站点都具有与被受信任的区域关联的安全设置。若要此操作:
  1. 启动 Internet Explorer。
  2. 工具 菜单上单击 Internet 选项,然后单击 安全 选项卡。
  3. 单击以选中 受信任的站点,然后单击 网站
  4. 键入要被列为受信任的站点在 web 页的名称,然后单击 添加。重复此过程为每个要添加到列表中的 web 页。
  5. 当您输入的所有 web 页列表时,单击 确定,然后单击 确定

状态

Internet 6 Explorer

Microsoft 已经确认此问题可能导致在 Internet 浏览器 6 中的一定程度的安全漏洞。此问题 Internet 浏览器 6 Service Pack 1 中第一次已得到纠正。

ie 5.5

Microsoft 已经确认此问题可能导致 Internet 浏览器 5.5 中的一定程度的安全漏洞。

更多信息

有关此漏洞的详细信息,请参阅下面的 Microsoft 网站:
http://www.microsoft.com/technet/security/bulletin/ms01-055.mspx

属性

文章编号: 312461 - 最后修改: 2007年1月31日 - 修订: 4.13
这篇文章中的信息适用于:
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 6.0?当用于
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
    • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows NT Server 4.0 Terminal Server(终端服务器)
    • Microsoft Windows NT Workstation 4.0 开发员版
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 第二版
    • Microsoft Windows 98 Standard Edition
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
关键字:?
kbmt kbbug kbenv kbfix kbie550presp3fix kbie600presp1fix kbinterop kbnetwork kbsechack kbsecurity kbsecvulnerability kbwin2000sp3fix kbie600sp1fix KB312461 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 312461
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com