MS03-015:2003 年 4 月版 Internet Explorer 累积修补程序

文章翻译 文章翻译
文章编号: 813489
展开全部 | 关闭全部

本文内容

概要

Microsoft 已经发布了 Internet Explorer 的一个累积修补程序。此累积修补程序包括对下面的 Microsoft 知识库文章中所述问题的更新:
810847 MS03-004:2003 年 2 月版 Internet Explorer 累积修补程序
此累积修补程序还修补了下面四个新发现的漏洞:
  • 因为 Internet Explorer 未正确检查来自 Web 服务器的返回通讯请求的参数而导致 Urlmon.dll 中存在的缓冲区溢出漏洞。攻击者能够使用此漏洞在您的计算机上运行任意代码。虽然只需用户访问攻击者的网站,而无需用户执行其他任何操作,攻击者就可以利用此漏洞,但攻击者无法强迫用户访问其网站。
  • 一个存在于 Internet Explorer 文件上载控件中的漏洞。利用此漏洞可以将来自脚本的输入传递给该控件。这使攻击者可以自动将文件名输入到文件上载控件中,并自动将文件上载到 Web 服务器。
  • Internet Explorer 呈现第三方文件的方式中存在的问题。产生此问题的原因在于 Internet Explorer 用来呈现第三方文件类型的方法不能正确检查传递给该方法的参数。攻击者可以创建一个专门构建的 URL,以便在呈现第三方文件格式的过程中,插入可以在用户的环境中运行的脚本。
  • Internet Explorer 对模式对话框的处理方式中存在的问题。发生此问题的原因在于未能正确检查某个输入参数。这使攻击者可以利用插入的脚本来获取对用户计算机上存储的文件的访问权限。虽然只需用户访问攻击者的网站,而无需用户执行其他任何操作,攻击者就可以利用此漏洞,但攻击者无法强迫用户访问其网站。
注意
  • 此修补程序还包括一个 Internet Explorer 6 Service Pack 1 (SP1) 的修补程序,此修补程序更正了 Internet Explorer 在“本地计算机区域”显示“帮助”信息所使用的方法。虽然 Microsoft 尚不知道利用此漏洞本身的方法,但如果此漏洞被利用,攻击者就可以读取计算机上的本地文件。
  • 此修补程序在下面的 ActiveX 控件上还设置了“Kill”位:
    收起该表格展开该表格
    说明文件名CLSID参考
    Microsoft HTML 帮助控件Hhctrl.ocxADB880A6-D8FF-11CF-9377-00AA003B7A11323255
    ActiveX 插件控件Plugin.ocx06DD38D3-D187-11CF-A80D-00C04FD74AD8813489
    DirectX 文件查看器控件XWeb.ocx{970C7E08-05A7-11D0-89AA-00A0C9054129}810202
    有关 Kill 位的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    240797 如何禁止 ActiveX 控件在 Internet Explorer 中运行
  • 因为此修补程序在 Microsoft HTML 帮助控件上设置了 Kill 位,所以如果您尚未安装 Microsoft 知识库文章 811630 中所述的经过更新的 HTML 帮助控件,您可能会在“帮助”中遇到链接无效的问题。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    811630 使用 window.showHelp( ) 方法调用 HTML 帮助时限制其功能的 HTML 帮助更新
  • 类似于 MS03-004 布告中的先前的 Internet Explorer 累积修补程序,如果您未应用 HTML Help 更新,此累积修补程序会导致 window.showHelp 方法停止运行。如果已经安装 Microsoft 知识库文章 811630 中所述的已更新的 HTML 帮助控件,则应用此更新后仍可以使用 HTML 帮助功能。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    811630 使用 window.showHelp( ) 方法调用 HTML 帮助时限制其功能的 HTML 帮助更新
  • 此修补程序还解决了禁止在非交互模式下(例如,通过使用 Windows 任务计划程序、Microsoft Systems Management Server 或 IBM Tivoli 软件)将以前的 Internet Explorer 累积修补程序成功安装到基于 Microsoft Windows XP 的计算机上的问题。
有关此修补程序的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/security/Bulletins/MS03-015.asp
有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
811630 使用 window.showHelp( ) 方法调用 HTML 帮助时限制其功能的 HTML 帮助更新

更多信息

下载信息

要下载并安装此更新程序,请访问下面的 Microsoft Windows Update 网站并安装 Critical Update 813489:
http://update.microsoft.com
管理员可以从 Microsoft 下载中心或 Windows Update Catalog 下载此更新程序并将其部署到多台计算机上。如果想要获取此更新程序以便以后安装到一台或多台计算机上,请使用 Windows Update 目录中的“高级搜索选项”功能搜索本文的 ID 号。 有关如何从 Windows Update 目录下载更新的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
323166 如何从 Windows Update 目录下载更新和驱动程序
要从 Microsoft 下载中心下载此更新,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windows/ie/ie6/downloads/critical/813489/default.mspx
有关如何从 Microsoft 下载中心下载文件的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。

安装信息

您必须以管理员身份登录来安装此更新。要下载并安装此更新程序,请访问下面的 Windows Update 网站并安装 Critical Update 813489:
http://update.microsoft.com
若要安装此更新的下载版本,请运行您下载的 q813489.exe 文件,具体方法是使用相应的 安装开关。管理员可以使用 Microsoft 软件更新服务 (SUS) 部署此更新。 有关 SUS 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
810796 软件更新服务概述白皮书已推出
要验证计算机上是否已安装此更新程序,请使用以下任一方法:
  • 确认“关于 Internet Explorer”对话框的“更新版本”字段中已列出了 Q813489。
  • 将计算机中更新文件的版本与本文的文件信息一节中列出的文章。
  • 确认下面的注册表项存在并且包含一个设置为 1 的
    IsInstalled
    DWORD 值:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{F9C174E3-3E87-40bc-AA94-B8974F2B9222}

先决条件

若要安装此更新的 Internet Explorer 6 版,必须在一个 32 位版本的 Windows XP 上运行 Internet Explorer 6(版本 6.00.2600.0000)。

若要安装此更新的 Internet Explorer 6 SP1 版本,必须在 Windows XP SP1(32 位或 64 位版本)、Windows XP(只能 32 位版本)、Windows 2000 Service Pack 2 (SP2) 或 Service Pack 3 (SP3)、Windows NT 4.0 Service Pack 6a (SP6a)、Windows Millennium Edition 或者 Windows 98 Second Edition 上运行 Internet Explorer 6 SP1(6.00.2800.1106 版)。

若要安装此更新的 Internet Explorer 5.5 版本,必须在 Windows 2000 SP3、Windows NT 4.0 SP6a、Windows Millennium Edition 或 Windows 98 Second Edition 上运行 Internet Explorer 5.5 Service Pack 2(5.50.4807.2300 版)。

若要安装此更新的 Internet Explorer 5.01 版本,必须在 Windows 2000 SP3 上运行 Internet Explorer 5.01 Service Pack 3(5.00.3502.1000 版)。 有关如何确定所运行的 Internet Explorer 版本的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
164539 如何确定安装的是哪个版本的 Internet Explorer
有关 Windows 操作系统组件的支持生命周期的其他信息,请访问下面的 Microsoft 网站:
http://support.microsoft.com/lifecycle/
有关如何获取 Internet Explorer 6 SP1 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
328548 如何获取最新的 Internet Explorer 6 Service Pack
有关如何获取最新的 Internet Explorer 5.5 Service Pack 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
276369 如何获取最新的 Internet Explorer 5.5 Service Pack
有关如何获取 Internet Explorer 5.01 SP3 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
267954 如何获取最新的 Internet Explorer 5.01 Service Pack

重新启动要求

对于 Internet Explorer 6 SP1 程序包,必须重新启动计算机才能完成此更新的安装。对于此软件包的所有其他版本,必须重新启动计算机并以管理员身份登录来完成此更新程序的安装。

上一个更新的状态

此更新程序取代“MS03-004:2003 年 2 月版 Internet Explorer 更新累积修补程序”

安装开关

此修补程序的更新程序包支持下列开关:
  • /q 指定提取文件时采用安静模式或不显示消息。
  • /q:u 指定用户安静模式,该模式向用户显示某些对话框。
  • /q:a 指定管理员安静模式,该模式不向用户显示任何对话框。
  • /t: 路径指定用于提取文件的目标文件夹。
  • /c 提取文件但不进行安装。如果不指定 /t: 路径,则提示您输入目标文件夹。
  • /c: 路径指定安装程序的 .inf 文件或 .exe 文件的路径和名称。
  • /r:n 安装后不重新启动计算机。
  • /r:i 如果需要重新启动,则提示用户重新启动计算机,但与 /q:a 一起使用时例外。
  • /r:a 安装后总是重新启动计算机。
  • /r:s 安装后不提示用户即重新启动计算机。
  • /n:v 不检查版本。在任何版本的 Internet Explorer 上安装此更新时,若要使用此开关,则一定要谨慎。
例如,若要以无任何用户干预方式安装此更新并且不强制计算机重新启动,请运行下面的命令:
q813489.exe /q:a /r:n

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按世界时 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。若要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的“时区”选项卡。

下列文件安装在 Windows 98、Windows 98 Second Edition 和 Windows Millennium Edition 的 %Windir%\System 文件夹中。在 Windows NT 4.0、Windows 2000 和 Windows XP 中,这些文件安装在 %Windir%\System32 文件夹中。

Internet Explorer 6 SP1(32 位)

日期         时间   版本                大小  文件名
---------------------------------------------------------
24-Feb-2003  17:31  6.0.2800.1170  2,787,840  Mshtml.dll
24-Feb-2003  17:32  6.0.2800.1170  1,339,904  Shdocvw.dll
24-Mar-2003  19:18  6.0.2800.1170    483,328  Urlmon.dll

Internet Explorer 6 SP1(64 位)

日期         时间   版本                大小  文件名       平台
-------------------------------------------------------------------
24-Feb-2003  16:50  6.0.2800.1170  9,075,200  Mshtml.dll   IA-64
24-Feb-2003  16:57  6.0.2800.1170  3,648,000  Shdocvw.dll  IA-64
24-Mar-2003  20:31  6.0.2800.1170  1,411,584  Urlmon.dll   IA-64

Internet Explorer 6

日期         时间   版本                大小  文件名
---------------------------------------------------------
25-Feb-2003  21:19  6.0.2726.2500  2,762,240  Mshtml.dll
24-Mar-2003  15:25  6.0.2722.900      34,304  Pngfilt.dll
04-Mar-2002  23:09  6.0.2715.400     548,864  Shdoclc.dll
05-Nov-2002  15:01  6.0.2723.100   1,336,320  Shdocvw.dll
24-Mar-2003  15:25  6.0.2715.400     109,568  Url.dll
24-Mar-2003  15:00  6.0.2727.2400    481,280  Urlmon.dll
06-Jun-2002  16:38  6.0.2718.400     583,168  Wininet.dll

Internet Explorer 5.5 SP2

日期         时间   版本                 大小  文件名
----------------------------------------------------------
25-Feb-2003  21:04  5.50.4926.2500  2,759,440  Mshtml.dll 
16-Oct-2002  23:01  5.50.4922.900      48,912  Pngfilt.dll
04-Nov-2002  13:27  5.50.4923.500   1,149,200  Shdocvw.dll
05-Mar-2002  00:53  5.50.4915.500      84,240  Url.dll    
21-Mar-2003  16:40  5.50.4927.2100    451,344  Urlmon.dll 
06-Jun-2002  20:27  5.50.4918.600     481,552  Wininet.dll

Internet Explorer 5.01 SP3(仅 Windows 2000)

日期         时间   版本                大小  文件名
---------------------------------------------------------
28-Mar-2003  21:20  5.0.3516.2800  2,357,008  Mshtml.dll 
14-Oct-2002  14:28  5.0.3510.1100     48,912  Pngfilt.dll
09-Jan-2003  21:41  5.0.3513.900   1,108,752  Shdocvw.dll
05-Mar-2002  00:53  5.50.4915.500     84,240  Url.dll    
21-Mar-2003  15:55  5.0.3516.2100    451,344  Urlmon.dll 
07-Jun-2002  22:56  5.0.3506.1000    461,584  Wininet.dll
注意:由于文件之间的依赖性,这些更新还可能包含其他文件。

删除信息

要删除(卸载)此更新程序,请使用“控制面板”中的“添加或删除程序”(或“添加/删除程序”)工具。单击“Internet Explorer Q813489”,然后单击“更改/删除”(或单击“添加/删除”)。系统管理员可以使用 Ieunist.exe 实用工具删除此更新程序。Ieuninst.exe 位于 %Windir% 文件夹中,它支持下面的命令行开关:
  • /? 显示支持的开关列表。
  • /z 完成安装时不重新启动计算机。
  • /q 使用安静模式(无用户交互)。
例如,要以安静模式删除此更新,请使用下面的命令:
c:\windows\ieuninst /q c:\windows\inf\q813489.inf
注意:此命令行假定 Windows 安装在 C:\Windows 文件夹中。

已知问题

  • 如果您尝试安装此更新程序但未以管理员身份登录,则会看到下面的警告消息:
    Warning
    You do not have administrator privileges on this machine.Some installations cannot be completed correctly unless they are run by an administrator.Do you want to continue?
    如果您单击“继续”,则会收到以下消息:
    Microsoft Internet Explorer Update
    Do you want to install this update?
    如果单击“是”,可能收到以下错误消息:
    Advanced INF Installer
    You do not have administrator privileges on this machine.This installation cannot be completed correctly unless it is run by an administrator.
    如果您单击“确定”,则会看到下面的消息:
    Microsoft Internet Explorer Update
    This update has been installed.
    此消息不正确。此更新程序并未安装。
  • 如果您在 Windows XP 64 位版本上既安装了此次更新的 32 位版本又安装了 64 位版本,那么此两个更新均会在“控制面板”中的“添加或删除程序”工具中以“Internet Explorer Q813489”的形式列出。删除其中一个更新程序后,当试图删除第二个更新程序时会看到“Invalid INF file”错误消息。
  • 有关安装此更新后可能发生的已知问题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    325192 安装 Internet Explorer 或 Windows 更新后出现的问题
  • 您可以在运行 Internet Explorer 5.01 SP3 的基于 Windows 2000 SP3 的计算机上安装 813489 关键更新的 Internet Explorer 5.5 SP2 版本。若要解决此问题,请删除 813489 关键更新的 Internet Explorer 5.5 SP2 版本,然后安装 813489 关键更新的 Internet Explorer 5.01 SP3 版本。管理员可使用 Ieuninst.exe 工具删除 Internet Explorer 5.5 SP2 更新,具体请按照本文“删除信息”一节的讨论。例如,要以安静模式删除此更新,请使用下面的命令:
    c:\windows\ieuninst /q c:\windows\inf\q813489.inf
    注意:此命令行假定 Windows 安装在 C:\Windows 文件夹中。
本文中提到的第三方产品由 Microsoft 以外的其他公司提供。对于这些产品的性能或可靠性,Microsoft 不作任何暗示保证或其他形式的保证。

属性

文章编号: 813489 - 最后修改: 2011年2月3日 - 修订: 8.6
关键字:?
kbwin2ksp4fix kbsecurity KB813489
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com