发布日期：2002-02-21
更新日期：2002-02-25

受影响系统：

Microsoft Internet Explorer 5.0.1SP1
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 5.0.1SP2
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 5.01
    - Microsoft Windows Terminal Services
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows ME
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 5.5
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 5.5SP1
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 5.5SP2
    - Microsoft Windows Terminal Services
    - Microsoft Windows Terminal Server 4.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows ME
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 6.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

描述：

---

BUGTRAQ  ID: 4158
CVE(CAN) ID: CVE-2002-0052

在现代浏览器中，一个Web站点上下文执行的脚本不应该可以能够访问到其他站点的相关实体。这个安全功能称为“同源策略”，这可以使恶意网页不能窃取其它不同窗口中的敏感信息。

Microsoft IE的VBScript实现上存在一个漏洞，违背了同源策略，可能导致用户敏感信息泄露。

恶意的VBScript可能利用IE访问到其它站点或域的帧（frame）中的内容，这可能是因为是计算域边界的时候出现了问题，IE试图跨不同的帧对一般域中的内容进行分组。攻击者可能借这个漏洞得到用户与其他站点会话的信息（包括用户名、口令等信息）或者传输用户文件到攻击者控制的网站。

<*来源：Zentai Peter Aron
  
  链接：http://www.microsoft.com/technet/security/bulletin/MS02-009.asp
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 不要使用未修补过的IE浏览不可信的站点。

* 在IE中设置禁止活动脚本的执行：

在 工具->Internet选项->安全->脚本->活动脚本 选择禁用。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS02-009）以及相应补丁:
MS02-009：Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files
链接：http://www.microsoft.com/technet/security/bulletin/MS02-009.asp

补丁下载：

http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp

浏览次数：3317
严重程度：0（网友投票）