关键漏洞信息总结 漏洞概述 Vulnerability Note: VU#244729 发布日期: 2003-05-05 最后修订日期: 2003-05-06 漏洞描述 受影响软件: Microsoft Internet Explorer, Outlook, Outlook Express, MSN Messenger, Eudora, Lotus Notes, Adobe PhotoDeluxe, AOL 以及其他使用 WebBrowser ActiveX 控件的软件。 漏洞详情: IE 在处理对话框框架中的窗口装饰参数时未进行充分验证,允许恶意脚本跨域执行,包括访问本地文件和数据(如cookie)。 关联漏洞: VU#626395 和 VU#25249,允许执行任意命令。 影响 攻击方式: 攻击者可通过特制的HTML文档(如网页或邮件)读取其他域的数据,包括Local Machine Zone的数据。 潜在危害: 读取cookie、执行任意命令等。 解决方案 1. 应用补丁: - 安装 Q813489 或更新的累积补丁。 - 参考 Microsoft 安全公告 MS03-015。 2. 禁用Active scripting: - 在Internet区和Outlook使用的区禁用Active scripting。 3. 应用Outlook 邮件安全更新: - 安装Outlook Email安全更新,阻止Active scripting在受限站点区执行。 4. 更新HTML Help: - 安装更新版HTML Help (Q811630),并禁用某些HTML Help命令。 5. 限制HTML Help命令: - 参考Microsoft知识库文章 810687,限制或禁用 Shortcut和WinHelp命令。 其他信息 CVE ID: CVE-2003-0116 严重性评分: 16.73 公开日期: 2002-12-03 首次发布日期: 2003-05-05