受影响系统:
- Microsoft Internet Explorer 4.0 and 4.01.
- Microsoft Internet Explorer 5 and 5.01.
描述:
概要:
该漏洞允许恶意网站管理员读取访问者机器上某些类型的文件。针对Microsoft Internet Explorer的这一漏洞,微软已经发布了相应的修补程序。
细节:
在浏览一个Web服务器的时候,如果在同一窗口内从一站点切换到另一站点,IE的安全机制会在新页面中检查该站点的访问权限(简单如一些经IE限制而不能访问的站点)。
但是,一个Web站点很可能会打开一个客户端的本地文件,然后再接着打开该站点上的页面,而此过程中,客户端本地文件中的数据在浏览器中已经泄露。
数据在新页面被浏览前很短的时间内被泄露出去,其结果是恶意的站点管理员可以查看访客计算机上的文件内容。条件是该站点的管理员必须知道(或猜测到)文件名和准确的位置,同时只能查看到浏览器认可的文件类型。
建议: http://windowsupdate.microsoft.com http://www.microsoft.com/windows/ie/security/patch5.asp
微软的安全补丁是for IE 4.01 SP2或更高版本.在此好象该补丁包也对IE 4.01 SP1有效,但补丁包的信息表明,此补丁对它并没起作用--在IE 4.01 SP1或之前版本不存在此漏洞。出现的这一信息是不对的,如果你使用的是IE 4.01 SP1或更早版本,请更新到最新版本。其他的补丁程序可在微软的下载区找到。