computer 版 (精华区)

发信人: neverbw (今天，你Seek Qin了吗？), 信区: network
标  题: 微软IE浏览器HTTP请求编码漏洞
发信站: 听涛站 (2001年11月16日18:43:28 星期五), 站内信件

弱点描述
　　攻击者可以构造一个指向第三方网站的特定的URL。这个重定向URL中也包含了发送
到第三方网站的特定命令，这样看上去就象是直接来自用户的一样。
　　成功利用这个漏洞可以获得目标用户的详细信息，但是这很难被广泛使用。
受影响的系统
Microsoft Internet Explorer 5.01
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows 2000
- Microsoft Windows 2000 SP1
- Microsoft Windows 2000 SP2
- Microsoft Windows 2000 Terminal Services
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP1
- Microsoft Windows NT 4.0SP2
- Microsoft Windows NT 4.0SP3
- Microsoft Windows NT 4.0SP4
- Microsoft Windows NT 4.0SP5
- Microsoft Windows NT 4.0SP6
- Microsoft Windows NT 4.0SP6a
Microsoft Internet Explorer 5.5
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows 2000
- Microsoft Windows 2000 SP1
- Microsoft Windows 2000 SP2
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP1
- Microsoft Windows NT 4.0SP2
- Microsoft Windows NT 4.0SP3
- Microsoft Windows NT 4.0SP4
- Microsoft Windows NT 4.0SP5
- Microsoft Windows NT 4.0SP6
- Microsoft Windows NT 4.0SP6a
Microsoft Internet Explorer 6.0
- Microsoft Windows 98
- Microsoft Windows 98se
- Microsoft Windows ME
- Microsoft Windows 2000
- Microsoft Windows 2000 SP1
- Microsoft Windows 2000 SP2
- Microsoft Windows NT 4.0SP6a
修补方案
　　微软已经发布了一个补丁来解决这个问题：
Microsoft Patch IE5.01 Q306121.exe
http://download.microsoft.com/download/ie501sp2/secpac20/
5.01SP2/WIN98/EN-US/q306121.exe
Microsoft Internet Explorer 5.5:
Microsoft Patch IE5.5 Q306121.exe
http://download.microsoft.com/download/ie55sp2/secpac20/
5.5_SP2/WIN98Me/EN-US/q306121.exe
Microsoft Internet Explorer 6.0:
Microsoft Patch IE6 Q306121.exe
http://download.microsoft.com/download/IE60/Secpac20/
6/W98NT42KMeXP/EN-US/q306121.exe
注意：如果要在IE5.01和5.5上使用这个补丁，必须要先安装IE SP2

--
         当爱情不再完美
         我宁愿选择无悔
        不管来生多么美丽
    我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]