6月14日,微软安全中心发布了2005年6月漏洞安全公告:MS05-025危害等级为“严重”,请广大用户尽快到微软官方网站下载微软最新补丁。
编号:MS05-025
名称:Internet Explorer 的累积性安全更新
KB编号: 883939
等级:严重
Internet Explorer 的累积性安全更新描述:
此更新可消除两个公开报告和秘密报告的新发现漏洞。 本公告的“漏洞详细资料”部分对本公告中的每个漏洞进行了说明。 如果用户使用管理用户权限登录,成功利用最严重的漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
我们建议用户立即安装此更新。
受影响的软件:
·Microsoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4
·Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2
·Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
·Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
·Microsoft Windows XP Professional x64 Edition
·Microsoft Windows Server 2003
·Microsoft Windows Server 2003 Service Pack 1
·Microsoft Windows Server 2003(用于基于 Itanium 的系统)
·Microsoft Windows Server 2003 with SP1(用于基于 Itanium 的系统)
·Microsoft Windows Server 2003 x64 Edition
·Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE) 和 Microsoft Windows Millennium Edition (ME)
受影响的组件:
·Microsoft Windows 2000 Service Pack 3 上的 Internet Explorer 5.01 Service Pack 3
·Microsoft Windows 2000 Service Pack 4 上的 Internet Explorer 5.01 Service Pack 4
·Microsoft Windows 2000 Service Pack 3、Microsoft Windows 2000 Service Pack 4 或 Microsoft Windows XP Service Pack 1 上的 Internet Explorer 6 Service Pack 1
·用于 Microsoft Windows XP Service Pack 2 的 Internet Explorer 6
·用于 Microsoft Windows XP 64-Bit Edition Service Pack 1 的 Internet Explorer 6 Service Pack 1 (Itanium)
·用于 Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1 的 Internet Explorer 6
·用于 Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)、Microsoft Windows Server 2003(用于基于 Itanium 的系统)以及 Microsoft Windows Server 2003 SP1(用于基于 Itanium 的系统)的 Internet Explorer 6
·用于 Microsoft Windows Server 2003 x64 Edition 和 Microsoft Windows XP Professional x64 Edition 的 Internet Explorer 6
·Windows Millennium Edition 上的 Internet Explorer 5.5 Service Pack 2
·Microsoft Windows 98、Microsoft Windows 98 SE 或 Microsoft Windows Millennium Edition 上的 Internet Explorer 6 Service Pack 1
严重等级和漏洞标识: | 漏洞标识 | 漏洞的影响 | IE 5.01 SP3 和 SP4 | Windows ME 上的 IE 5.5 SP2 | IE 6 SP1(Windows Server 2003 之前所有受支持的操作系统版本) | 用于 Windows Server 2003 和 Windows Server 2003 SP1 的 IE 6 | 用于 Windows XP SP 2的IE 6 | PNG 图像呈现内存损坏漏洞 - CAN-2005-1211
| 远程执行代码 | 严重 | 严重 | 严重 | 严重 | 严重 | XML 重定向信息泄露漏洞 - CAN-2002-0648
| 信息泄漏 | 中等 | 中等 | 中等 | 低 | 中等 | | 所有漏洞综合严重程度 | 严重 | 严重 | 严重 | 严重 | 严重 | 严重 |
减轻影响的方式:
PNG 图像呈现内存损坏漏洞:
·在基于 Web 的攻击中,攻击者必须拥有一个网站,并在上面放置用来利用此漏洞的网页。 攻击者也可能尝试攻击一个网站,以使其显示恶意内容。 攻击者无法强迫用户访问网站。 相反,攻击者必须劝诱用户访问该网站,通常是让用户单击通向攻击者站点或攻击者构建的站点的链接。
·成功利用此漏洞的攻击者可以获得与本地用户相同的权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
如果满足以下所有条件,就会大大降低受到 HTML 电子邮件媒介攻击的威胁:
·应用 Microsoft 安全公告 MS03-040 或更高版本的 Internet Explorer 累积安全更新中包含的更新。
·在其默认配置中使用 Microsoft Outlook Express 6 或更高版本。
·在其默认配置中使用 Microsoft Outlook 2000 Service Pack 2 或更高版本。
XML 重定向信息泄露漏洞:
·在基于 Web 的攻击中,攻击者必须拥有一个网站,并在上面放置用来利用此漏洞的网页。 攻击者也可能尝试攻击一个网站,以使其显示恶意内容。 攻击者无法强迫用户访问网站。 相反,攻击者必须劝诱用户访问该网站,通常是让用户单击通向攻击者站点或攻击者构建的站点的链接。
·成功利用此漏洞的攻击者可以访问除攻击者网站的 XML 之外的某个系统上的 XML。
·默认情况下,Outlook Express 6、Outlook 2002 和 Outlook 2003 在“受限制的站点”区域中打开 HTML 电子邮件。 此外,如果已经应用了 Outlook 电子邮件安全更新,Outlook 2000 将在“受限制的站点”区域中打开 HTML 电子邮件。 如果已经应用了 Microsoft 安全公告 MS04-018,Outlook Express 5.5 Service Pack 2 将在“受限制的站点”区域打开 HTML 电子邮件。 “受限制的站点”区域可以减少利用此漏洞的攻击企图。
·不会通过电子邮件自动利用此漏洞。 用户必须打开电子邮件中附件或单击电子邮件中的链接,这样攻击才会得逞。.
·默认情况下,Windows Server 2003 上的 Internet Explorer 在一种称为“增强安全配置”的受限模式下运行。 此模式可减轻此漏洞。 有关 Internet Explorer 增强安全配置的详细信息,请参阅此漏洞的“常见问题解答”部分。
如果满足以下所有条件,就会大大降低受到 HTML 电子邮件媒介攻击的威胁:
·应用 Microsoft 安全公告 MS03-040 或更高版本的 Internet Explorer 累积安全更新中包含的更新。
·在其默认配置中使用 Microsoft Outlook Express 6 或更高版本。
·在其默认配置中使用 Microsoft Outlook 2000 Service Pack 2 或更高版本。 | 
