| Microsoft Security Bulletin MS02-068 Patch cumulativo per Internet Explorer. |
Scarica ora |
Microsoft Security Bulletin MS02-068 Classifica e riepilogo
- Sito web dell'editore:
- http://www.microsoft.com/
- Sistemi operativi:
- Windows 98, Windows 2000
Microsoft Security Bulletin MS02-068 Tag
Microsoft Security Bulletin MS02-068 Descrizione
Da Microsoft: questo è un bollettino aggiornato che descrive una patch cumulativa per Internet Explorer 5.5 e 6.0. La patch originale è invariata e, oltre a includere la funzionalità di tutte le patch precedentemente rilasciate per Internet Explorer 5.5 e 6.0, elimina un ulteriore difetto nel modello di sicurezza cross-Domain Domain di Internet Explorer. Questo difetto si verifica perché i controlli di sicurezza che Internet Explorer effettuano che le tecniche di caching di oggetti particolari sono utilizzate nelle pagine Web sono incomplete. Ciò potrebbe avere l'effetto di consentire a un utente malintenzionato di eseguire comandi sul sistema di un utente. Sfruttare la vulnerabilità potrebbe consentire a un utente malintenzionato di invocare un eseguibile già presente sul sistema locale. Potrebbe anche consentire a un utente malintenzionato di caricare un eseguibile malevolo sul sistema di un utente o di passare i parametri a un eseguibile. Tuttavia, un'impostazione della chiave del Registro di sistema discussa in Microsoft Knowledge Base Articolo 810687 disabilita scorciatoie in Guida HTML, che riduce significativamente l'ambito di questa vulnerabilità in quanto rimuove la capacità di caricare un eseguibile malizioso sul sistema di un utente o di passare i parametri a un eseguibile. Un utente malintenzionato potrebbe sfruttare la vulnerabilità costruendo una pagina Web che utilizza una tecnica di programmazione memorizzata nella cache e potrebbe quindi ospitarlo su un sito Web o inviarlo a un utente via e-mail. Nel caso del vettore di attacco basato sul web, la pagina potrebbe essere automatica automaticamente quando un utente ha visitato il sito. Nel caso del vettore di attacco basato sulla posta HTML, la pagina potrebbe essere aperta quando il destinatario ha aperto la posta o visualizzata utilizzando il riquadro di anteprima. Il 4 dicembre 2002, Microsoft ha rilasciato la versione originale di questo bollettino. Successivamente a quel tempo, Microsoft ha ricevuto una relazione che suggerisce che la vulnerabilità affrontata da questo bollettino potrebbe essere sfruttata per eseguire il codice arbitrario sulla macchina dell'utente. Microsoft ha studiato tale rapporto, ed è stato in grado di sviluppare una dimostrazione che sfrutta la vulnerabilità di eseguire il codice arbitrario. Abbiamo rilasciato questo bollettino aggiornato per consigliare i clienti della nostra nuova valutazione del potenziale impatto della vulnerabilità e della sua valutazione di gravità aggiornata. La patch originale rilasciata con questo bollettino era ed è efficace nel prevenire lo sfruttamento della vulnerabilità. È anche efficace nell'eliminare tutte le vulnerabilità indirizzate da bollettini precedenti che potrebbero consentire a una parte dannosa di eseguire il codice sulla macchina di un utente che ha visitato un sito Web ostile o ha aperto un messaggio di posta elettronica HTML dannoso. Microsoft sollecita fortemente tutti i clienti a installare la patch.
Microsoft Security Bulletin MS02-068 Software correlato