Microsoft Internet Explorer 5.01 SP2 kümülatif yama güvenlik güncelleştirmesi.
Şimdi İndirin

Microsoft Internet Explorer 5.01 SP2 kümülatif yama Sıralama ve Özet

Microsoft Internet Explorer 5.01 SP2 kümülatif yama Etiketler

Güvenlik güncellemesi Güvenlik Essentials güncellemesi Güvenlik şartlarını güncelle

Microsoft Internet Explorer 5.01 SP2 kümülatif yama Açıklama

Microsoft'tan: Bu, IE 5.01, 5.5 ve 6.0 için önceden yayımlanan tüm yamaların işlevselliğini içeren kümülatif bir yamadır. Ek olarak, aşağıdaki altı yeni keşfedilen güvenlik açığını ortadan kaldırır: yerel bir HTML kaynağında bir arada site komut dosyası güvenlik açığı. Yani, işlevsellik sağlamak için yerel dosya sisteminde HTML içeren birkaç dosyayla birlikte gönderilir. Bu dosyalardan biri, bir komut dosyasının kullanıcı tarafından çalıştırılmış gibi çalışmasına izin verebilecek bir site komut dosyası oluşturma güvenlik açığı içermektedir ve yerel bilgisayar bölgesinde çalışmasına neden olur. Bir saldırgan, bu güvenlik açığından yararlanan bir URL'li bir web sayfasını oluşturabilir ve ardından bu sayfayı bir Web sunucusundaki veya HTML e-postası olarak gönderebilir. Web sayfası görüntülendiğinde ve kullanıcı URL bağlantısına tıkladığında, saldırganın yerel kaynağa enjekte edilmesi, saldırganın komut dosyası yerel bilgisayar bölgesinde çalıştırılacak, aksi takdirde daha az kısıtlama ile çalışmasına izin veriyor. AM HTML nesnesinin kullanımı ile ilgili bir bilgi açıklama güvenlik açığı, saldırganın yerel sistemdeki verileri okumasını, eklenmesine, silme, silme veya değiştirmemesini, silme, silme veya değiştirmemesine izin verebilmesine izin verebilecek basamaklı stil sayfaları için destek sağlıyor. Bir saldırgan, bu güvenlik açığından yararlanan ve ardından bir Web sunucusundaki bu sayfayı barındıran veya HTML e-postası olarak gönderen bir web sayfasını oluşturabilir. Sayfa görüntülendiğinde, öğe çağrılır. Bununla birlikte, bu güvenlik açığının başarıyla yararlanılması, ancak, kullanıcının sisteminde okunacak olan dosyanın yeri hakkında tam bilgi gerektirir. Ayrıca, amaçlanan dosyanın tek, parciküler ASCII karakteri içermesini gerektirir. Bir sitenin diğerinin çerezlerini okumasına izin verebilecek çerezler içinde komut dosyasının kullanımı ile ilgili bir bilgi ifşa edici güvenlik açığı. Bir saldırgan, komut dosyasını içeren özel bir çerez oluşturabilir ve ardından bu çerezi kullanıcının sistemine teslim edecek köprüye sahip bir Web sayfası oluşturabilir ve çağırır. Daha sonra o web sayfasını posta olarak gönderebilir veya bir sunucuya gönderebilirdi. Kullanıcı köprüyü tıklattığında ve sayfa, yapışkandaki komut dosyasını başlattığında, başka bir sitenin çerezlerini potansiyel olarak okuyabilir veya değiştirebilir. Bununla birlikte, başarılı bir şekilde yararlanmak, saldırganın, kurabiyenin tam adını, dosya sisteminde kayıtlı olarak okunması için tam olarak tanımasını gerektirir. Bir web sayfasının intranet bölgesinde veya bazı çok nadir durumlarda, güvenilir siteler bölgesinde, bir web sayfasının yanlış hesaplanmasına izin verebilecek bir bölge sahtekarlığı güvenlik açığı. Bir saldırgan, bu güvenlik açığından yararlanan ve kullanıcıyı web sayfasını ziyaret etmelerini engelleyen bir web sayfasını oluşturabilir. Saldırı başarılı olsaydı, sayfa uygun olandan daha az güvenlik kısıtlaması ile çalıştırılır. İndirilebilir bir dosyanın içeriği ve içerik eğilimi ve içerik türü başlıkları kasıtlı olarak yanlış biçimlendirildiğinde, Microsoft Security Bülteni MS01-058'de tartışılan "İçeriksel Müteahhitlik" güvenlik açığının iki varyantısı. Böyle bir durumda, yani, bir dosyanın otomatik kullanım için güvenli bir tür, gerçekleştirildiğinde, yürütülebilir içerik olduğuna inanmak mümkündür. Bir saldırgan, özel olarak kötü biçimlendirilmiş bir web sayfası oluşturarak ve hatalı biçimlendirilmiş bir yürütülebilir dosyayı yayınlayarak bu güvenlik açığından yararlanmayı arayabilir. Daha sonra web sayfasını gönderebilir veya amaçlanan hedefe postalayabilirdi. Bu iki yeni varyans, bir sistemin savunmasız olması için orijinal güvenlik açığından farklılık gösterir, bu, hatalı biçimlendirilmiş içeriği yanlış bir şekilde geçirildiğinde, hemen yükseltmek yerine işletim sistemine geri dönmeyi seçmelerini sağlayan bir uygulama sunmuş olması gerekir. bir hata. Bu nedenle başarılı bir saldırı, saldırganın amaçlanan kurbanın sistemlerinde mevcut olan bu uygulamalardan birine sahip olduğunu bilmesini gerektirir. Son olarak, sınırlı siteler bölgesinde bir davranış değişikliği tanıtır. Spesifik olarak, kısıtlı siteler bölgesindeki çerçeveleri devre dışı bırakır. Outlook Express 6.0, Outlook 98 ve Outlook 2000, Outlook E-posta Güvenlik Güncelleştirmesi ve Outlook 2002 ile tümü Kısıtlı Siteler Bölgesi'ndeki e-postayı varsayılan olarak okuyun, bu geliştirme, bu ürünlerin artık varsayılan olarak HTML e-postasındaki çerçeveleri etkin bir şekilde devre dışı bıraktığı anlamına gelir. Bu yeni davranış, bir HTML e-postasının otomatik olarak yeni bir pencereyi açmasını veya yürütülebilir dosyanın indirilmesini engellemesini imkansız kılar.

Microsoft Internet Explorer 5.01 SP2 kümülatif yama İlgili Yazılım