微软InternetExplorer文件下载警告迂回漏洞

发布日期：2003-12-22
更新日期：2003-12-29
详细描述：
　　微软IE是一款流行的WEB浏览程序。IE浏览器不正确处理部分URI请求，远程攻击者可以利用这个漏洞构建恶意WEB链接，诱使用户访问，会提示不正确的安全通告欺骗用户打开。
　　通过更改文件名，攻击者可以欺骗浏览器，绕过文件下载警告，如攻击者构建类似如下的WEB链接： http://www.example.com/file.exe?.html 。
　　浏览器会显示这个文件是html类型，而不是EXE文件类型，这会使用户在欺骗的情况下，下载恶意文件到本地系统。
　　受影响系统：
　　Microsoft Internet Explorer 5.0
　　Microsoft Internet Explorer 5.0.1 SP3
　　Microsoft Internet Explorer 5.0.1 SP2
　　Microsoft Internet Explorer 5.0.1 SP1
　　Microsoft Internet Explorer 5.0.1
　　Microsoft Internet Explorer 5.5 SP2
　　Microsoft Internet Explorer 5.5 SP1
　　Microsoft Internet Explorer 5.5
　　Microsoft Internet Explorer 6.0
　　Microsoft Windows 2000 Advanced Server
　　Microsoft Windows 2000 Advanced Server SP1
　　 - Microsoft Windows 2000 Advanced Server SP2
　　 - Microsoft Windows 2000 Datacenter Server
　　 - Microsoft Windows 2000 Datacenter Server SP1
　　 - Microsoft Windows 2000 Datacenter Server SP2
　　 - Microsoft Windows 2000 Professional
　　 - Microsoft Windows 2000 Professional SP1
　　 - Microsoft Windows 2000 Professional SP2
　　 - Microsoft Windows 2000 Server
　　 - Microsoft Windows 2000 Server SP1
　　 - Microsoft Windows 2000 Server SP2
　　 - Microsoft Windows 2000 Terminal Services
　　 - Microsoft Windows 2000 Terminal Services SP1
　　 - Microsoft Windows 2000 Terminal Services SP2
　　 - Microsoft Windows 98
　　 - Microsoft Windows 98SE
　　 - Microsoft Windows ME
　　 - Microsoft Windows NT Enterprise Server 4.0 SP6a
　　 - Microsoft Windows NT Server 4.0 SP6a
　　 - Microsoft Windows NT Workstation 4.0 SP6a
　　 + Microsoft Windows Server 2003 Datacenter Edition
　　 + Microsoft Windows Server 2003 Datacenter Edition 64-bit
　　 + Microsoft Windows Server 2003 Enterprise Edition
　　 + Microsoft Windows Server 2003 Enterprise Edition 64-bit
　　 + Microsoft Windows Server 2003 Standard Edition
　　 + Microsoft Windows Server 2003 Web Edition
　　 + Microsoft Windows XP Home
　　 + Microsoft Windows XP Professional
补丁下载：
　　Microsoft目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.microsoft.com/windows/ie/default.asp
　　参考资料
　　Internet Explorer file downloading security alerts bypass
国外情况图例我发过来了，国内什么时候出现还不知道。临时解决办法，禁止IE文件下载，先用下载工具下载吧。下载文件用杀毒软件扫描后再打开。

jakey 该用户已被删除

5楼

jakey发表于 2004-1-4 15:01 | 只看该作者

微软InternetExplorer文件下载警告迂回漏洞

呵呵杀了我都不去买正版的
呵呵 HACKER ！的宣言忘记了吗？
都是免费的！呵呵！！

TOP

壁虎 该用户已被删除

地板

壁虎发表于 2004-1-1 22:52 | 只看该作者

微软InternetExplorer文件下载警告迂回漏洞

如果我买得起正版我绝对买，像杀毒软件，金山瑞星我都买了，可是一个winxp－1998元，像我简直是承受不了的。其他OFFICE和SQL2000......吓人了。
算了，不说了，我现在只能用盗版的。
转到这个话题上，只要是利用IE内核的浏览器都没办法防止，像MYIE，TE等，因为都是利用的IE的设置。不过这个漏洞虽然现在所有IE都有，但只要大家下载时多个心眼应该没多大问题。

TOP

bigblock 该用户已被删除

板凳

bigblock发表于 2004-1-1 21:35 | 只看该作者