发布日期：2002-11-21
更新日期：2002-11-26

受影响系统：

Microsoft Internet Explorer 5.5SP2
Microsoft Internet Explorer 5.5SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.0.1SP2
Microsoft Internet Explorer 5.0.1SP1
Microsoft Internet Explorer 6.0
    - Microsoft Windows XP
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows ME
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Microsoft Windows 2000 Datacenter Server SP2
    - Microsoft Windows 2000 Datacenter Server SP1
    - Microsoft Windows 2000 Datacenter Server
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server

描述：

---

BUGTRAQ  ID: 6217
CVE(CAN) ID: CVE-2002-1188

Microsoft Internet Explorer是一款微软开发的流行的WEB浏览器。

Internet Explorer浏览器不正确检查OBJECT标记调用，远程攻击者可以利用这个漏洞构建恶意WEB页面，诱使用户打开，获得用户本地系统中的临时Internet文件名。

由于不正确处理OBJEC标记，可导致远程攻击者获得目标用户系统中的临时Internet文件夹名字。这个漏洞不允许攻击者读或修改用户系统中的任意文件，原因是临时Internet文件夹处理Internet security域中。不过知道临时Internet文件夹名称可以帮助攻击者登录用户名和读取临时Internet文件夹中的其他信息如COOKIE。

攻击者可以通过构建恶意WEB页面或者使用HTML形式的电子邮件来触发这个漏洞。

<*来源：Microsoft Security Bulletin
  
  链接：http://www.microsoft.com/technet/security/bulletin/MS02-066.asp
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS02-066）以及相应补丁:
MS02-066：Cumulative Patch for Internet Explorer (Q328970)
链接：http://www.microsoft.com/technet/security/bulletin/MS02-066.asp

补丁下载：

http://www.microsoft.com/windows/ie/downloads/critical/q328970/default.asp

浏览次数：2885
严重程度：0（网友投票）