Microsoft Internet Explorer 5.01 SP2 תיקון מצטבר עדכון אבטחה.
הורד עכשיו

Microsoft Internet Explorer 5.01 SP2 תיקון מצטבר דירוג וסיכום

Microsoft Internet Explorer 5.01 SP2 תיקון מצטבר תגים

עדכון אבטחה עדכון יסודות האבטחה עדכון יסודות האבטחה

Microsoft Internet Explorer 5.01 SP2 תיקון מצטבר תיאור

מ מיקרוסופט: זוהי תיקון מצטבר הכולל את הפונקציונליות של כל התיקונים שפורסמו בעבר עבור IE 5.01, 5.5 ו 6.0. בנוסף, הוא מבטל את ששת הפגיעות שהתגלו לאחרונה: פגיעות של Scripting באתר במשאב HTML מקומי. כלומר ספינות עם מספר קבצים המכילים HTML במערכת הקבצים המקומית לספק פונקציונליות. אחד הקבצים הללו מכיל פגיעות של scripting באתר שיכול לאפשר סקריפט לבצע כאילו הוא הועבר על ידי המשתמש עצמה, גורם לו לפעול באזור המחשב המקומי. תוקף יכול לעצב דף אינטרנט עם כתובת אתר המנצלת את הפגיעות הזו ולאחר מכן מארח את הדף בשרת אינטרנט או לשלוח אותו כדוא"ל HTML. כאשר דף האינטרנט נתפס והמשתמש לוחץ על קישור כתובת האתר, התוקף של התוקף הוזרק למשאב המקומי, התסריט של התוקף יופעל באזור המחשב המקומי, ומאפשר לו לרוץ עם פחות הגבלות מאשר אחרת. פגיעות של גילוי מידע הקשור לשימוש ב- AM HTML מספקת כי התמיכה בגיליונות סגנונות שיכולים לאפשר לתוקף לקרוא, אך לא להוסיף, למחוק או לשנות, נתונים במערכת המקומית. תוקף יכול לעצב דף אינטרנט המנצל פגיעות זו ולאחר מכן גם מארח את הדף בשרת אינטרנט או לשלוח אותו כדוא"ל HTML. כאשר הדף נתפס, האלמנט יופעל. עם זאת, ניצול בהצלחה את הפגיעות הזו, עם זאת, מחייב ידע מדויק של המיקום של הקובץ המיועד לקריאה על מערכת המשתמש. יתר על כן, זה דורש כי הקובץ המיועד להכיל אופי יחיד, parcicular ascii. פגיעות של גילוי מידע הקשור לטיפול בסקריפט בתוך עוגיות העלולות לאפשר לאתר אחד לקרוא את העוגיות של אחר. תוקף יכול לבנות קובץ cookie מיוחד המכיל סקריפט ולאחר מכן לבנות דף אינטרנט עם קישור כי היה לספק את cookie למערכת של המשתמש ולהפעיל אותו. לאחר מכן הוא יכול לשלוח את דף האינטרנט כמו דואר או לכתוב אותו בשרת. כאשר המשתמש לחץ על היפר והדף הפעל את התסריט בקובץ ה- Cookie, הוא עלול לקרוא או לשנות את העוגיות של אתר אחר. ניצול זה בהצלחה, עם זאת, ידרוש כי התוקף יודע את השם המדויק של עוגיה כמו מאוחסן על מערכת הקבצים כדי לקרוא בהצלחה. פגיעות של זיוף אזור העלולה לאפשר לדף אינטרנט להתחשב באופן שגוי להיות באזור האינטרא-נט או, במקרים נדירים מאוד, באזור אתרים מהימנים. תוקף יכול לבנות דף אינטרנט המנצל פגיעות זו ולנסות לפתות את המשתמש לבקר בדף האינטרנט. אם ההתקפה היתה מוצלחת, הדף יפעל עם פחות מגבלות אבטחה מאשר מתאים. שני גרסאות של הפגיעות של "נטיית תוכן" ב - Microsoft Security Bulletin MS01-058 המשפיעים על האופן שבו כלומר מטפל בהורדות כאשר כותרות תוכן של קובץ להורדה וכותרות מסוג תוכן. במקרה כזה, זה אפשרי עבור IE להאמין כי קובץ הוא סוג בטוח לטיפול אוטומטי, כאשר למעשה הוא תוכן הפעלה. תוקף יכול לבקש לנצל פגיעות זו על ידי בניית דף אינטרנט בעל מבנה מיוחד ומפרישת קובץ הפעלה בעל מבנה פגום. לאחר מכן הוא יכול לכתוב את דף האינטרנט או לשלוח אותו ליעד המיועד. שני גרסאות חדשות אלה נבדלות מהפגיעות המקורית בכך שהם למערכת להיות פגיעים, היא חייבת להציג יישום הנוכחי, כאשר הוא עבר בטעות את התוכן המום, בוחר למסור אותו בחזרה למערכת ההפעלה ולא מיד להעלות שגיאה. התקפה מוצלחת, אם כן, ידרוש כי התוקף יודע כי הקורבן המיועד יש אחד של יישומים אלה הנוכחים במערכת שלהם. לבסוף, הוא מציג התנהגות שינוי לאזור אתרים מוגבלים. באופן ספציפי, הוא משביל מסגרות באזור אתרים מוגבלים. מאז Outlook Express 6.0, Outlook 98 ו- Outlook 2000 עם עדכון האבטחה של Outlook ו- Outlook 2002 כל האימייל לקריאה באזור האתרים המוגבלים כברירת מחדל, שיפור זה פירושו כי מוצרים אלה מעורבים ביעילות במסגרות ב- HTML בדוא"ל כברירת מחדל. התנהגות חדשה זו הופכת את זה בלתי אפשרי עבור דוא"ל HTML כדי לפתוח באופן אוטומטי חלון חדש או להפעיל את ההורדה של הפעלה.

Microsoft Internet Explorer 5.01 SP2 תיקון מצטבר תוכנה קשורה