[转载]Microsoft IE多个CSS导入内存破坏漏洞(MS06-042)
信息来源:绿盟科技发布日期:2006-08-08
更新日期:2006-08-15
受影响系统:
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.0.1 SP4
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 19316
CVE(CAN) ID: CVE-2006-3451
Microsoft Internet Explorer是微软发布的非常流行的WEB浏览器。
Microsoft Internet Explorer在处理样式表中的导入时存在问题,远程攻击者可能利用此漏洞在用户机器上执行任意指令。
如果对样式表集使用了多个导入的话,就可能出现不正确的垃圾收集(garbage collection)。攻击者可以在HTML文档中创建一系列CSS导入,如果用户用IE打开了该文档就会导致内存破坏和代码执行。
<*来源:Sam Thomas
链接:[url]http://marc.theaimsgroup.com/?l=bugtraq&m=115506445823728&w=2[/url]
[url]http://www.microsoft.com/technet/security/bulletin/ms06-042.mspx[/url]
[url]http://www.us-cert.gov/cas/techalerts/TA06-220A.html[/url]
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
* 配置Internet Explorer在运行活动脚本之前要求提示,或在Internet和本地Intranet安全区中禁用活动脚本。
* 将Internet和本地Intranet安全区设置为“高”以在运行ActiveX控件和活动脚本之前要求提示。
* 以纯文本格式读取邮件消息。
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS06-042)以及相应补丁:
MS06-042:Cumulative Security Update for Internet Explorer (918899)
链接:[url]http://www.microsoft.com/technet/security/bulletin/ms06-042.mspx[/url]
页:
[1]