发布日期：2000-12-05
更新日期：2000-12-05

受影响系统：

Microsoft Internet Explorer 5.5
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 2000

描述：

---

微软IE 5.5存在一个漏洞，该漏洞允许恶意的网站管理员在目标系统上执行任意ActiveX
控件。这是因为其打印模板特性的实现中存在一个缺陷。

打印模板是一种机制，IE 5.5使用它来控制“打印/打印预览“行为并允许用户在打印或
打印预览时自定义浏览器文档的布局。打印模板被认为是可信任的代码，因此它们能够执
行任意ActiveX控件，而不管这些控件是否被标记为可用于安全地进行脚本解释执行。在
通常情况下，只有当用户同意时才能执行网站提供的自定义打印模板。但是，有可能绕过
这个限制，这样网站就能够继续处理打印模板并运行其选定的ActiveX控件，这些控件可
以在远程系统上执行很多操作，包括添加、删除、执行和修改文件。

如果ActiveX控件在IE中被禁止，这个漏洞就无法利用。

<*来源：Warren R. Greer *>



建议：

---

厂商补丁：

微软已针对本问题发布如下补丁：

Microsoft patch 279328
http://www.microsoft.com/windows/ie/download/critical/279328

这个补丁需要已经安装IE 5.5 SP1或IE 5.01 SP1。将本补丁安装在其它版本的系统上时
可能会遇到如下信息：“This update does not need to be installed on this
system”。该信息不正确。


浏览次数：4578
严重程度：0（网友投票）