MS01-055: Internet Explorer Cookie dữ liệu có thể được tiếp xúc hoặc thay đổi thông qua Script tiêm

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 312461
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
Triệu chứng
Một lỗ hổng bảo mật tiềm năng tồn tại trong các phiên bản Internet Explorer 5.5 và 6 có thể cho phép một người sử dụng độc hại để tạo ra một URL cho phép một trang Web để truy cập trái phép vào các cookie được lưu trữ trên máy tính của bạn và sau đó (có thể) sửa đổi các giá trị được chứa trong chúng. Bởi vì một số trang Web sử dụng cookie được lưu trữ trên máy tính của bạn để lưu trữ thông tin nhạy cảm, cũng có thể rằng thông tin cá nhân có thể được tiếp xúc.

Cố khai thác lỗ hổng này sẽ yêu cầu người dùng lựa chọn để nhấp vào một liên kết URL trên một trang mà kẻ tấn công đã lưu trữ trên trang web của mình, hoặc để nhấp vào một liên kết URL được nhúng vào trong thư điện tử HTML mà kẻ tấn công đã gửi. Nó không thể được kích hoạt tự động gọi mà không có sự tương tác người dùng.

Giảm nhẹ các yếu tố

  • Một người sử dụng đầu tiên phải được thuyết phục để truy cập vào một trang Web độc hại hoặc mở thư điện tử HTML có chứa bị thay đổi URL. Người dùng sau đó có thể chọn để nhấp vào một liên kết URL đặc biệt được hình thành.
  • Người sử dụng đã áp dụng Microsoft Outlook E-mail Security Update không bị ảnh hưởng bởi việc khai thác lỗ hổng này HTML e-mail.
  • Người sử dụng đã thiết lập Outlook Express để dùng trong vùng site bị hạn chế không bị ảnh hưởng bởi việc khai thác lỗ hổng này HTML e-mail. Lưu ý rằng đây là thiết lập mặc định cho Microsoft Outlook Express 6.
Giải pháp
QUAN TRỌNG: Vá này đòi hỏi rằng tên miền sử dụng cookie phải chỉ có alpha-số ký tự (hoặc ' – 'hoặc'.') trong tên miền. Nếu họ không, cookie có thể không làm việc đúng cách.

Internet Explorer 6

Để giải quyết vấn đề này, có được gói dịch vụ mới nhất trong Internet Explorer 6. Để biết thêm chi tiết, nhấp vào số bài viết sau đây để xem các bài viết trong cácCơ sở kiến thức Microsoft:
328548 Làm thế nào để có được Internet Explorer 6 Service Pack mới nhất
"Security Update, 13 tháng 12 năm 2001" bản vá được thay thế bởi các miếng vá sau đây:
316059 MS02-005: Ngày 11 tháng 2 năm 2002, tích lũy vá cho Internet Explorer
"Security Update, 13 tháng 12 năm 2001" bản vá có sẵn tại Web site sau Microsoft:

Internet Explorer 5.5

Một sửa chữa được hỗ trợ là bây giờ có sẵn từ Microsoft, nhưng nó chỉ là nhằm khắc phục sự cố được mô tả trong bài viết này. Nó chỉ áp dụng cho máy tính bạn xác định có nguy cơ bị tấn công. Đánh giá khả năng truy cập vật lý của máy tính, mạng và kết nối Internet và các yếu tố khác để xác định mức độ rủi ro cho máy tính của bạn. Xem các liên kết Microsoft Security Bulletin để giúp xác định mức độ rủi ro. Sửa chữa có thể nhận được thử nghiệm bổ sung. Nếu máy tính của bạn đầy đủ có nguy cơ, Microsoft khuyến cáo rằng bạn đăng ký sửa chữa ngay. Nếu không, chờ đợi cho Internet Explorer 5.5 tiếp theo dịch vụ gói chứa sửa chữa.

Để giải quyết vấn đề này ngay lập tức, tải về việc sửa chữa bằng cách làm theo các hướng dẫn sau này trong bài viết này hoặc liên hệ với dịch vụ hỗ trợ sản phẩm Microsoft có được sửa chữa. Đối với một danh sách đầy đủ các dịch vụ hỗ trợ Microsoft sản phẩm điện thoại số và thông tin về chi phí hỗ trợ, ghé thăm Web site sau của Microsoft:LƯU Ý: Trong trường hợp đặc biệt, chi phí mà thường phải gánh chịu cho các cuộc gọi hỗ trợ có thể được hủy bỏ nếu chuyên viên hỗ trợ Microsoft xác định rằng một Cập Nhật cụ thể sẽ giải quyết vấn đề của bạn. Các chi phí hỗ trợ thông thường sẽ áp dụng để hỗ trợ thêm câu hỏi và vấn đề này không đủ điều kiện cho các Cập Nhật cụ thể trong câu hỏi.

"Security Update, 13 tháng 12 năm 2001" bản vá được thay thế bởi các miếng vá sau đây:
316059 MS02-005: Ngày 11 tháng 2 năm 2002, tích lũy vá cho Internet Explorer
"Security Update, 13 tháng 12 năm 2001" bản vá có sẵn tại Web site sau Microsoft:
LƯU Ý: Để ngăn máy tính khởi động lại trong khi cài đặt, thêm các "/ r: n." (không có dấu ngoặc kép) chuyển đổi tập tin Q312461.exe khi bạn cài đặt các bản vá.
Cách giải quyết khác
Để làm việc xung quanh vấn đề này, bạn có thể vô hiệu hoá active scripting trong vùng Internet và mạng nội bộ trong Internet Explorer. Để ngăn ngừa lỗ hổng này khỏi việc sử dụng khi bạn đang sử dụng các tính năng rendering HTML của Outlook Express, bạn nên đặt cấu hình Outlook Express để dùng trong vùng site bị hạn chế.

Vô hiệu hoá Active Scripting trong Internet Explorer

  1. Khởi động Internet Explorer.
  2. Trên các Công cụ trình đơn, nhấp vào Tuỳ chọn Internet.
  3. Trên các Bảo mật tab, bấm vào Mức độ tuỳ chỉnh.
  4. Trong các Thiết đặt hộp, bấm vào Vô hiệu hoá dưới Active scriptingKịch bản của tiểu dụng Java.
  5. Nhấp vào Ok, sau đó bấm Ok.
LƯU Ý: Nếu bạn vô hiệu hoá active scripting trong Internet Explorer và bạn sử dụng Microsoft Outlook Web Access (OWA) là ứng dụng khách thư điện tử, bạn có thể mất một số chức năng OWA. Để giữ lại chức năng đầy đủ trong OWA, không tắt hoạt động kịch bản trong Internet Explorer.

Cho phép các trang web bị giới hạn trong Outlook Express

  1. Bắt đầu Outlook Express.
  2. Trên các Công cụ trình đơn, nhấp vào Tuỳ chọn.
  3. Bấm vào các Bảo mật tab, bấm vào Vùng site bị hạn chế (an toàn hơn), sau đó bấm Ok.
LƯU Ý: Đối với các trang web đó đã bị vô hiệu hoặc chức năng của họ đã thay đổi bằng cách tắt active scripting, thêm trang đó vào vùng site tin cậy có thể cho phép các trang web này. Tất cả các trang web được nhập theo cách này có các thiết đặt bảo mật liên quan đến trong một khu vực đáng tin cậy. Để thực hiện việc này:
  1. Khởi động Internet Explorer.
  2. Trên các Công cụ trình đơn, nhấp vào Tuỳ chọn Internet, sau đó bấm các Bảo mật tab.
  3. Bấm để chọn Site tin cậy, sau đó bấm Các trang web.
  4. Gõ tên của trang web để được liệt kê như là một trang web đáng tin cậy, và sau đó nhấp vào Thêm. Lặp lại quá trình này cho mỗi trang web sẽ được thêm vào danh sách.
  5. Khi bạn đã nhập tất cả các trang web vào danh sách, bấm vào Ok, sau đó bấm Ok.
Tình trạng

Internet Explorer 6

Microsoft đã xác nhận rằng vấn đề này có thể gây ra một mức độ lỗ hổng bảo mật trong Internet Explorer 6. Vấn đề này lần đầu tiên đã được sửa chữa trong Internet Explorer 6 Service Pack 1.

Internet Explorer 5.5

Microsoft đã xác nhận rằng vấn đề này có thể gây ra một mức độ lỗ hổng bảo mật trong Internet Explorer 5.5.
Thông tin thêm
Để biết thêm chi tiết vào lỗ hổng này, xem Web site sau của Microsoft:
security_patch

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 312461 - Xem lại Lần cuối: 01/12/2015 19:17:52 - Bản sửa đổi: 3.0

Microsoft Internet Explorer 6.0

  • kbnosurvey kbarchive kbbug kbenv kbfix kbie550presp3fix kbie600presp1fix kbinterop kbnetwork kbsechack kbsecurity kbsecvulnerability kbwin2000sp3fix kbie600sp1fix kbmt KB312461 KbMtvi
Phản hồi