发布日期：2003-11-11
更新日期：2003-11-13

受影响系统：

Microsoft Internet Explorer 6.0SP1
Microsoft Internet Explorer 5.5SP2
Microsoft Internet Explorer 5.5SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.0.1SP3
Microsoft Internet Explorer 5.0.1SP2
Microsoft Internet Explorer 5.0.1SP1
Microsoft Internet Explorer 6.0
    - Microsoft Windows XP
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows ME
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Microsoft Windows 2000 Datacenter Server SP2
    - Microsoft Windows 2000 Datacenter Server SP1
    - Microsoft Windows 2000 Datacenter Server
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server

描述：

---

CVE(CAN) ID: CVE-2003-0814,CVE-2003-0815,CVE-2003-0816,CVE-2003-0817,CVE-2003-0818

Microsoft Internet Explorer是一款流行的WEB浏览程序。

Microsoft Internet Explorer存在多个安全问题，可导致任意代码执行，读取本地系统文件，下载任意文件到用户系统。

具体问题如下：

- 在相关Internet Explorer的跨域安全模型(从共享信息中保持不同域窗口)中存在三个漏洞，这些漏洞可导致在本地计算机区域中执行任意脚本，要利用这些漏洞，攻击者必须构建包含恶意代码的页面，然后诱使用户访问该页。攻击者也可以构建恶意HTML形式EMAIL消息发送给用户打开。成功利用此漏洞可以从其他WEB站点访问信息，访问用户系统上的文件和在用户上执行任意代码。

- 在Internet Explorer中把区域信息传递给XML对象时存在安全问题。这个漏洞允许攻击者读取用户系统上的本地问。要利用这个漏洞，攻击者必须构建包含恶意代码的页面，然后诱使用户访问该页。攻击者也可以构建恶意HTML形式EMAIL消息发送给用户打开。在用户浏览恶意站点或查看HTML EMAIL消息后，用户会被提示下载HTML页面，如果用户接收这个HTML文件下载，那么攻击者可以读取已知位置中的本地文件。

- 在Internet Explorer中在动态HTML事件上执行Drag-and-Drop操作时存在安全问题。如果用户点击，这个漏洞允许文件保存在用户系统中的目标指定目录上。没有任何对话框提示会要求用户下载。要利用这个漏洞，攻击者必须构建包含恶意代码的页面，然后诱使用户访问该页。攻击者也可以构建恶意HTML形式EMAIL消息发送给用户打开。如果用户点击恶意连接，可导致代码保存在用户计算机上。

<*来源：Microsoft Security Team （secure@microsoft.com）
  
  链接：http://www.microsoft.com/technet/security/bulletin/MS03-048.asp
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在Internet和Intranet区中运行ActiveX控件和活动脚本前要求提示。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS03-048）以及相应补丁:
MS03-048：Cumulative Security Update for Internet Explorer (824145)
链接：http://www.microsoft.com/technet/security/bulletin/MS03-048.asp

补丁下载：

Internet Explorer 6 Service Pack 1:

http://www.microsoft.com/downloads/details.aspx?FamilyId=9D8543E9-0E2B-46C9-B6C6-12DE03860465&displaylang=en

Internet Explorer 6 Service Pack 1 (64-Bit Edition):

http://www.microsoft.com/downloads/details.aspx?FamilyId=35F99CF5-3629-4E0E-BF60-24845D2D20C9&displaylang=en

Internet Explorer 6 Service Pack 1 for Windows Server 2003:

http://www.microsoft.com/downloads/details.aspx?FamilyId=7D0D02DD-8940-48E0-B163-3FCDCB558F21&displaylang=en

Internet Explorer 6 Service Pack 1 for Windows Server 2003 (64-Bit Edition):

http://www.microsoft.com/downloads/details.aspx?FamilyId=8BEFA1EC-0C48-4B65-989D-58B0CE1E6F95&displaylang=en

Internet Explorer 6:

http://www.microsoft.com/downloads/details.aspx?FamilyId=4C4D22F0-FBF7-4EA6-9CC2-27D104D4198E&displaylang=en

Internet Explorer 5.5 Service Pack 2:

http://www.microsoft.com/downloads/details.aspx?FamilyId=E438AFD4-DF70-448C-8925-1075C8BE6C5E&displaylang=en

Internet Explorer 5.01 Service Pack 4:

http://www.microsoft.com/downloads/details.aspx?FamilyId=C15E2DB3-14E2-43A4-A1A1-676374B66517&displaylang=en

Internet Explorer 5.01 Service Pack 3:

http://www.microsoft.com/downloads/details.aspx?FamilyId=F4853D8F-F66C-4D8A-9979-3B4F540F90A8&displaylang=en

Internet Explorer 5.01 Service Pack 2:

http://www.microsoft.com/downloads/details.aspx?FamilyId=221616D4-5893-4DA4-A223-B0DE548D6D83&displaylang=en

浏览次数：6429
严重程度：10（网友投票）