安全漏洞:CN-VA10-23
发布日期:2010年03月2日
漏洞类型:远程攻击
漏洞评估:重要
受影响的系统:
Microsoft Windows 2000 Service Pack 4、Windows XP Service Pack 2、Windows XP Service Pack 3、Windows XP Professional x64 Edition Service Pack 2、Windows Server 2003 Service Pack 2、Windows Server 2003 with SP2 for Itanium-based Systems和Windows Server 2003 x64 Edition Service Pack 2。
未受影响的系统:
Windows Vista、Windows Vista Service Pack 1、Windows Vista Service Pack 2、Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1、Windows Vista x64 Edition Service Pack 2、Windows Server 2008 for 32-bit Systems、Windows Server 2008 for 32-bit Systems Service Pack 2、Windows Server 2008 for Itanium-based Systems、Windows Server 2008 for Itanium-based Systems Service Pack 2、Windows Server 2008 for x64-based Systems、Windows Server 2008 for x64-based Systems Service Pack 2、Windows 7 for 32-bit Systems and Windows 7 for x64-based Systems、Windows Server 2008 R2 for x64-based Systems和Windows Server 2008 R2 for Itanium-based Systems。
漏洞描述:
微软在当地时间3月1日发布安全通告(981169)称,IE帮助中的VBScript存在远程代码执行漏洞。微软IE的“帮助”支持使用 VBScript,VBScript中的MsgBox函数,允许通过构造恶意的Windows Help文件来执行任意程序。攻击者可以在网站上构建包含特制对话框的页面,等待用户访问。当用户访问该页面时,该页面将诱使用户按下F1键,如果用户按下F1,将调用该页面嵌入的.hlp文件,攻击者所构造的恶意代码即以IE进程的权限执行。可能的恶意代码包括:安装软件,察看、修改或删除数据,创建帐户等。微软表示,目前为止还没有接到该漏洞导致的攻击事件的报告并尚未提供正式的修复补丁。CNCERT提醒广大用户继续关注微软官方网站以便及时下载补丁更新。
参考信息:
http://www.microsoft.com/technet/security/advisory/981169.mspx
http://www.kb.cert.org/vuls/id/612021
http://secunia.com/advisories/38727/
http://isec.pl/vulnerabilities/isec-0027-msgbox-helpfile-ie.txt
信息提供者:
微软
其它信息:
相关CVE编号:
CVE-2010-0483
漏洞报告文档编写:
国家信息安全漏洞共享平台(CNVD)