欢迎光临郑州威普讯联计算机有限公司

微软InternetExplorer文件下载警告迂回漏洞

　　发布日期：2003-12-22

　　更新日期：2003-12-29

　　详细描述：

　　微软IE是一款流行的WEB浏览程序。IE浏览器不正确处理部分URI请求，远程攻击者可以利用这个漏洞构建恶意WEB链接，诱使用户访问，会提示不正确的安全通告欺骗用户打开。

　　通过更改文件名，攻击者可以欺骗浏览器，绕过文件下载警告，如攻击者构建类似如下的WEB链接： http://www.example.com/file.exe?.html 。

　　浏览器会显示这个文件是html类型，而不是EXE文件类型，这会使用户在欺骗的情况下，下载恶意文件到本地系统。

　　受影响系统：

　　Microsoft Internet Explorer 5.0

　　Microsoft Internet Explorer 5.0.1 SP3

　　Microsoft Internet Explorer 5.0.1 SP2

　　Microsoft Internet Explorer 5.0.1 SP1

　　Microsoft Internet Explorer 5.0.1

　　Microsoft Internet Explorer 5.5 SP2

　　Microsoft Internet Explorer 5.5 SP1

　　Microsoft Internet Explorer 5.5

　　Microsoft Internet Explorer 6.0

　　 - Microsoft Windows 2000 Advanced Server

　　 - Microsoft Windows 2000 Advanced Server SP1

　　 - Microsoft Windows 2000 Advanced Server SP2

　　 - Microsoft Windows 2000 Datacenter Server

　　 - Microsoft Windows 2000 Datacenter Server SP1

　　 - Microsoft Windows 2000 Datacenter Server SP2

　　 - Microsoft Windows 2000 Professional

　　 - Microsoft Windows 2000 Professional SP1

　　 - Microsoft Windows 2000 Professional SP2

　　 - Microsoft Windows 2000 Server

　　 - Microsoft Windows 2000 Server SP1

　　 - Microsoft Windows 2000 Server SP2

　　 - Microsoft Windows 2000 Terminal Services

　　 - Microsoft Windows 2000 Terminal Services SP1

　　 - Microsoft Windows 2000 Terminal Services SP2

　　 - Microsoft Windows 98

　　 - Microsoft Windows 98SE

　　 - Microsoft Windows ME

　　 - Microsoft Windows NT Enterprise Server 4.0 SP6a

　　 - Microsoft Windows NT Server 4.0 SP6a

　　 - Microsoft Windows NT Workstation 4.0 SP6a

　　 + Microsoft Windows Server 2003 Datacenter Edition

　　 + Microsoft Windows Server 2003 Datacenter Edition 64-bit

　　 + Microsoft Windows Server 2003 Enterprise Edition

　　 + Microsoft Windows Server 2003 Enterprise Edition 64-bit

　　 + Microsoft Windows Server 2003 Standard Edition

　　 + Microsoft Windows Server 2003 Web Edition

　　 + Microsoft Windows XP Home

　　 + Microsoft Windows XP Professional

　　补丁下载：

　　Microsoft目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.microsoft.com/windows/ie/default.asp

　　参考资料

　　Internet Explorer file downloading security alerts bypass