发布日期：2002-04-16
更新日期：2002-04-23

受影响系统：

Microsoft Internet Explorer 6.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows ME
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

描述：

---

BUGTRAQ  ID: 4519

Microsoft Internet Explorer是一款Microsoft公司开发和维护的流行的WEB浏览器。

Microsoft Internet Explorer在处理过多的Unicode字符时存在问题，可导致IE浏览器崩溃。

攻击者可以构建包含过多的Unicode字符的WEB链接，当浏览用户点击此链接的时候可导致IE崩溃并退出。目前尚未知道引起错误的原因，也可能不能在所有环境中重现这个问题，包括在同样的WINDOWS系统使用同样的IE对两个不同系统进行测试也可能不能使问题重现。

<*来源：MegaHz （costcon@cytanet.com.cy）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-04/0165.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

MegaHz （costcon@cytanet.com.cy）提供了如下测试方法：

原来在Bestbuy中提交如下请求：

http://www.bestbuy.com.cy/cgi-bin/buy.storefront/3cbbef7d0794c70e27a4c30e950106f2/Product/View/CMPL_00_GDXbox

如果使用下面的URL代替，可出现IE退出：

http://www.bestbuy.com.cy/cgi-bin/buy.storefront/<<<áx1388>>>/Product/View/CMPL_00_GDXbox

不包括<<<>>>符号。

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 不要去浏览一些不可信的网站。

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp

浏览次数：3163
严重程度：0（网友投票）