|
|
请勿升级Internet Explorer 的累积性安全更新 (832894),那样会使您在使用IE访问站点出现“语法错误”~~~但会很麻烦,不影响正常浏览
Internet Explorer 的累积性安全更新 (832894)
此 Internet Explorer 累积性更新还包含对 Internet Explorer 中的基本身份验证功能的更改。此更新取消了对 Microsoft Internet Explorer 中处理 HTTP URL 和具有安全套接字层 (SSL) 的 HTTP URL 或 HTTPS URL 中的用户名和密码的支持。安装此软件更新之后,Internet Explorer 或 Windows 资源管理器不再支持下面的 URL 语法:
http(s)://username:password@server/resource.ext
测试过的软件和安全更新下载位置:
受影响的软件
Microsoft Windows NT[$reg] Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition, Service Pack 6
Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4
Microsoft Windows XP, Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition, Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server[$reg] 2003
Microsoft Windows Server 2003, 64-Bit Edition
一个与包含特殊字符的不正确的 URL 规范有关的漏洞。如果同时误用了基本身份验证功能(URL 以“username:password@”开头),此漏洞可能会导致在 Internet Explorer 窗口的地址栏中显示错误的 URL。为利用此漏洞,攻击者必须拥有一个恶意 Web 站点,并在该站点上放置带有特制链接的 Web 页。攻击者接下来还必须诱使用户单击该链接。攻击者还可能创建带有特制链接的 HTML 电子邮件,然后诱使用户查看该 HTML 电子邮件并随之单击恶意链接。如果用户单击了此连接,可能会打开一个 Internet Explorer 窗口,其地址栏中显示的是攻击者选择的 URL,而窗口中显示的则是攻击者选择的 Web 站点中的内容。例如,攻击者可能会创建一个链接,一旦用户单击了此连接,地址栏中将显示 http://www.tailspintoys.com,� ... �容却是另一个 Web 站点中的内容,例如 http://www.wingtiptoys.com。(注意:所提供的这些 Web 站点仅为示例,它们都将重定向到 http://www.microsoft.com。)
原文:http://www.microsoft.com/china/t ... lletin/MS04-004.asp |
|
狗仔卡
发表于 2004-3-1 12:34:45
提升卡
置顶卡
变色卡
恢复卡