6月14日，微软安全中心发布了2005年6月漏洞安全公告：MS05-026危害等级为“严重”，请广大用户尽快到微软官方网站下载微软最新补丁。

编号：MS05-026
名称：HTML 帮助中的漏洞可能允许远程执行代码
KB编号： 896358
等级：严重

HTML 帮助中的漏洞描述：

　　此更新可消除一个秘密报告的新发现漏洞。 HTML 帮助中存在一个漏洞，可能允许在受影响的系统上执行远程代码。 本公告的“漏洞详细资料”部分中对此漏洞进行了说明。

　　如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

　　我们建议用户立即安装此更新。

受影响的软件：
·Microsoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4
·Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2
·Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
·Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
·Microsoft Windows XP Professional x64 Edition
·Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1
·Microsoft Windows Server 2003（用于基于 Itanium 的系统）和 Microsoft Windows Server 2003 SP1（用于基于 Itanium 的系统）
·Microsoft Windows Server 2003 x64 Edition
·Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE)、Microsoft Windows Millennium Edition (ME)

严重等级和漏洞标识：

减轻影响的方式：

HTML 帮助漏洞：

·Windows Server 2003 Service Pack 1 限制 InfoTech 协议（ms-its、its、mk:@msitstore）处理本地计算机区域之外提供的内容。 此更改帮助防止来自 Internet 区域的远程攻击，并降低 Windows Server 2003 Service Pack 1 系统上此问题的严重程度。
·在基于 Web 的攻击中，攻击者必须拥有一个网站，并在上面放置用来利用此漏洞的网页。 攻击者还可能尝试破坏某个网站，使其提供包含恶意内容的网页，从而试图利用此漏洞。 攻击者无法强迫用户访问网站。 相反，攻击者必须劝诱用户访问该网站，通常是让用户单击通向攻击者站点或攻击者构建的站点的链接。
·成功利用此漏洞的攻击者可以获得与本地用户相同的权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
·默认情况下，Outlook Express 6、Outlook 2002 和 Outlook 2003 在“受限制的站点”区域中打开 HTML 电子邮件。 此外，如果已经安装了 Outlook 电子邮件安全更新，Outlook 98 和 Outlook 2000 将在“受限制的站点”区域中打开 HTML 电子邮件。 如果已经安装了 Microsoft 安全公告 MS04-018，Outlook Express 5.5 Service Pack 2 将在“受限制的站点”区域打开 HTML 电子邮件消息。 “受限制的站点”区域可以减少利用此漏洞的攻击企图。

如果满足以下所有条件，就会大大降低受到 HTML 电子邮件媒介攻击的威胁：
·应用 Microsoft 安全公告 MS03-040 或更高版本的 Internet Explorer 累积安全更新中包含的更新。
·使用 Internet Explorer 6 或更高版本。
·在其默认配置中使用 Microsoft Outlook 电子邮件安全更新，使用 Microsoft Outlook Express 6 或更高版本，或者使用 Microsoft Outlook 2000 Service Pack 2 或更高版本。