发布日期：2003-04-23
更新日期：2003-05-07

受影响系统：

Microsoft Internet Explorer 6.0SP1
Microsoft Internet Explorer 5.5SP2
Microsoft Internet Explorer 5.5SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.0.1SP3
Microsoft Internet Explorer 5.0.1SP2
Microsoft Internet Explorer 5.0.1SP1
Microsoft Internet Explorer 6.0
    - Microsoft Windows XP
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows ME
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Microsoft Windows 2000 Datacenter Server SP2
    - Microsoft Windows 2000 Datacenter Server SP1
    - Microsoft Windows 2000 Datacenter Server
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server

描述：

---

BUGTRAQ  ID: 7491
CVE(CAN) ID: CVE-2003-0115

Microsoft Internet Explorer是一款流行的WEB浏览程序。

MSIE浏览器'plugin.ocx'控件对第三方文件类型参数缺少正确的检查，远程攻击者可以利用这个漏洞构建恶意页面，诱使用户访问，导致恶意代码在用户浏览器上执行。

问题存在于MSIE浏览器处理第三方文件中，'plugin.ocx'控件在处理由EnableFullPage参数提供的第三方文件类型时缺少充分过滤，攻击者可以注入恶意代码在参数中，诱使用户浏览器处理时，可导致代码在目标用户系统上执行，使用户的敏感信息被泄露。

攻击者也可以通过使用HTML形式的邮件，诱使用户打开来触发此漏洞。

<*来源：Microsoft Security Bulletin
  
  链接：http://www.microsoft.com/technet/security/bulletin/MS03-015.asp
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* Outlook Express 6.0和Outlook 2002默认设置是在限制区域中打开HTML邮件，使用Outlook 98和2000的用户需要通过Outlook E-mail安全升级来修正此漏洞：

http://office.microsoft.com/downloads/2000/Out2ksec.aspx

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS03-015）以及相应补丁:
MS03-015：Cumulative Patch for Internet Explorer (813489)
链接：http://www.microsoft.com/technet/security/bulletin/MS03-015.asp

补丁下载：

http://www.microsoft.com/windows/ie/downloads/critical/813489/default.asp

浏览次数：3072
严重程度：0（网友投票）