微软今天早些时候发布了4月份的安全补丁,IE浏览器成了重点照顾对象。在全部5个补丁中,有3个高危级、1个中危级、1个重要级。
IE累计补丁KB912812(MS06-013)共修正了10个漏洞,包括最近备受关注的“creatTextRange()”漏洞以及HTML分析错误漏洞、脚本执行漏洞、地址栏欺骗漏洞等,并且这些漏洞均可引发远程代码执行,影响各版本的Windows系统。此外,该补丁还修正了IE对ActiveX控件的处理方式以避免专利侵犯。
针对IE的“creatTextRange()”漏洞,安全公司eEye Digital Security曾发布过一款自己的安全补丁,并声称两周内的下载量高达15.6万,而且98%的IT人士会在漏洞比较危急的时候选择第三方补丁。
KB911562(MS06-014)和KB908531(MS06-015)分别涉及RDS.Dataspace ActiveX控件执行和COM控件执行。用户一旦访问恶意网站便可导致浏览器和资源管理器崩溃和代码执行,且各版本操作系统均无法幸免。
KB911567(MS06-016)涉及Outlook Express 5.5/6处理Windows地址簿.wab文件,可允许攻击者获得完全权限并安装程序,查看、改变、删除数据,创建新帐户等。
KB908981(MS06-017)涉及FrontPage Server Extensions,可导致跨网站脚本执行,不过需要用户参与。
