Aktualizacja zabezpieczeń, 16 sierpnia 2000
Ta aktualizacja zawiera kilka aktualizacji usuwających luki w zabezpieczeniach w wersjach programu Internet Explorer wydanych przed oddaniem systemu Windows Me do produkcji, omawianej w biuletynie Microsoft Security Bulletin MS00-055. Zainstalowanie tej aktualizacji pozwoli na usunięcie luk w zabezpieczeniach, określanych angielskimi terminami "Scriptlet Rendering" i "Frame Domain Verification" oraz kilka innych luk w programie Internet Explorer.
Zainstalowanie tej aktualizacji pozwoli na usunięcie następujących luk w zabezpieczeniach:
- Luki "Scriptlet Rendering”. Formant ActiveX®, używany do wywoływania skryptów, jest podstawowym aparatem renderowania dla języka HTML. Jednakże może on renderować dowolny typ pliku, nie tylko pliki HTML. Stwarza to okazję do wprowadzenia przez złośliwego operatora witryny sieci Web błędnych informacji skryptowych wyłącznie w celu wprowadzenia ich do pliku systemowego programu Internet Explorer ze znaną nazwą, a następnie użycie formantu skryptu w celu renderowania pliku. Ten efekt sieciowy może spowodować uruchomienie skryptu w strefie lokalnej komputera, w której skrypt ma dostęp do plików w lokalnym systemie plików użytkownika.
- Nowego wariantu luki “Frame Domain Verification”. Luka określana angielskim terminem
"Frame Domain Verification" zawiera dwie funkcje, które nie wymuszają poprawnego oddzielania ramek w tym samym oknie, które rezyduje w różnych domenach. Nowy wariant wprowadza dodatkową funkcję z tą samą wadą.
Ten efekt sieciowy luki umożliwia złośliwemu operatorowa witryny sieci Web otwieranie dwóch ramek,
jednej w domenie witryny sieci Web oraz drugiej w lokalnym systemie plików użytkownika i umożliwia przekazywanie informacji z tej drugiej do pierwszej.
Aby wykorzystać którąkolwiek z tych luk, złośliwy operator sieci Web musi znać lub domyślać się dokładnej nazwy i ścieżki do każdego pliku, którego zawartość chce obejrzeć. Nawet wtedy, operator witryny sieci Web może tylko oglądać typy plików, które mogą być otwierane na przykład w oknie przeglądarki, pliki o rozszerzeniach txt lub doc, ale nie pliki o rozszerzeniach exe lub dat. Jeśli witryna sieci Web jest w strefie, w której wykonywanie aktywnych skryptów było wyłączone, wykorzystanie tej luki jest niemożliwe.
Więcej informacji na temat tych luk można znaleźć w biuletynie Microsoft Security Bulletin MS00-055. (Witryna w języku angielskim.)
Ta aktualizacja zapewnia również ochronę przed kilkoma innymi lukami będącymi przedmiotem omówienia we wcześniej wydanych biuletynach. W szczególności, zastosowanie tej aktualizacji chroni przed lukami omawianymi w biuletynach Microsoft Security Bulletin: MS00-033, MS00-039, MS00-049i, wyłącznie dla programu Internet Explorer 5.5, w biuletynie MS00-042.
(Witryny w języku angielskim.)
Wymagania systemowe
Ta aktualizacja dotyczy systemu Windows Millenium Edition (Windows Me).
Sposób używania
Uruchom ponownie komputer, aby ukończyć instalację.
Dezinstalacja jest niedostępna.