关键漏洞信息 漏洞名称: - Internet Explorer Object Data Remote Execution Vulnerability 报告日期: - 2003年5月15日 发布日期: - 2003年8月20日 严重性: - 高 (远程代码执行) 受影响系统: - Microsoft Internet Explorer 5.01 - Microsoft Internet Explorer 5.5 - Microsoft Internet Explorer 6.0 - Microsoft Internet Explorer 6.0 for Windows Server 2003 漏洞描述: - eEye Digital Security发现了微软Internet Explorer中存在安全漏洞,可通过渲染恶意HTML执行任意代码。该漏洞源于在嵌入ActiveX的Object标签的远程数据位置参数未检查文件类型,使得特洛伊木马等恶意代码可能在网页内部静默运行。 技术描述: - 漏洞利用示例展示攻击者可以通过HTTP请求及响应将恶意代码嵌入网页并返回.innerHTML`. 当用户加载此网页时,IE解析并执行该恶意代码。 - 针对IE的增强安全配置模式(Windows 2003中默认启用),虽然一定程度减少攻击面,但仍需特别注意此漏洞。 厂商状态: - 微软已发布针对该漏洞的补丁,具体见补丁公告 防护措施: - 使用Retina Network Security Scanner进行漏洞检测和防护。尽快应用微软发布的安全补丁。