关键漏洞信息 漏洞标识: Buffer Overrun In HTML Converter Could Allow Code Execution (823559) 公告编号: MS03-023 严重性: Critical 发布日期: July 9, 2003 更新日期: May 13, 2004 影响的软件: - Microsoft Windows 98 - Microsoft Windows 98 Second Edition - Microsoft Windows Me - Microsoft Windows NT Workstation 4.0 - Microsoft Windows NT Server 4.0, Terminal Server Edition - Microsoft Windows 2000 - Microsoft Windows XP - Microsoft Windows Server 2003 漏洞描述: - 存在于HTML转换器处理文件格式转换请求时处理不当,导致缓冲区溢出漏洞,攻击者可能通过 specially crafted HTML页面或邮件发起攻击,以导致在当前登录用户名下执行任意代码。 缓解因素: - 默认情况下,Windows Server 2003 中的 Internet Explorer 运行在 Enhanced Security Configuration 模式下,这有助于减少自动利用该漏洞的风险。 - Web 基于的攻击场景,攻击者需要将受害者引导至特定的网页,而不是强制每个用户访问恶意网页。 漏洞影响的Windows版本及其严重等级: - Windows 98: Critical - Windows 98 Second Edition: Critical - Windows Me: Critical - Windows NT Workstation 4.0: Critical - Windows NT Server 4.0: Critical - Windows NT Server 4.0, Terminal Server Edition: Critical - Windows 2000: Critical - Windows XP: Critical - Windows Server 2003: Moderate