发布日期：2000-02-15
更新日期：2000-02-19

受影响系统：

- Microsoft Internet Explorer 4.0 and 4.01.
- Microsoft Internet Explorer 5 and 5.01.

描述：

---

概要：
    该漏洞允许恶意网站管理员读取访问者机器上某些类型的文件。针对Microsoft Internet Explorer的这一漏洞，微软已经发布了相应的修补程序。
细节：
    在浏览一个Web服务器的时候，如果在同一窗口内从一站点切换到另一站点，IE的安全机制会在新页面中检查该站点的访问权限（简单如一些经IE限制而不能访问的站点）。
    但是，一个Web站点很可能会打开一个客户端的本地文件，然后再接着打开该站点上的页面，而此过程中，客户端本地文件中的数据在浏览器中已经泄露。
    数据在新页面被浏览前很短的时间内被泄露出去，其结果是恶意的站点管理员可以查看访客计算机上的文件内容。条件是该站点的管理员必须知道（或猜测到）文件名和准确的位置，同时只能查看到浏览器认可的文件类型。

建议：

---

http://windowsupdate.microsoft.com
http://www.microsoft.com/windows/ie/security/patch5.asp
    微软的安全补丁是for IE 4.01 SP2或更高版本.在此好象该补丁包也对IE 4.01 SP1有效，但补丁包的信息表明，此补丁对它并没起作用--在IE 4.01 SP1或之前版本不存在此漏洞。出现的这一信息是不对的，如果你使用的是IE 4.01 SP1或更早版本，请更新到最新版本。其他的补丁程序可在微软的下载区找到。


浏览次数：6733
严重程度：0（网友投票）