九、Authenticode验证中的漏洞(发布日期:2003-10-15)
【漏洞描述】:Authenticode 中存在一个缺陷,在内存较低的某种情况下,它可以允许 ActiveX 控件下载和安装,并且不会提示用户予以同意。为了利用此漏洞,黑客可以向用户发送特殊形式的 HTML 电子邮件,如果你查看了该 HTML 电子邮件,你的系统中则可能安装和执行未经授权的 AcitiveX 控件。或者,黑客设立一个恶意的 Web 站点,放上利用此漏洞的Web 页,如果你访问该站点,你的系统中就可能会安装和执行 AcitiveX 控件。
【解决办法】:下载安装该问题的安全补丁,下载地址http://www.microsoft.com/china/security/Bulletins/MS03-041.asp,如果不能安装补丁,应该通过更改Internet 安全区域的设置来禁止下载 ActiveX 组件,防备针对此漏洞的攻击,操作步骤:在 Internet Explorer 中,选择“工具”/Internet 选项,单击“安全”选项卡,选择“Internet”图标,然后单击“自定义级别”按钮,在“下载已签名的 ActiveX 控件”下,单击“禁用”(如下图),最后单击“确定”。
以上操作之后,你可以将信任的站点添加到 Internet Explorer的“可信”站点中,以便继续照常使用可信Web站点,同时又避免在非可信站点中遭受此攻击,具体步骤:在 Internet Explorer 中,选择“工具”/Internet 选项,单击“安全”选项卡中的“可信站点”,然后单击“站点”,如果想添加不需要加密频道的站点,清除“对该区域中的所有站点要求服务器验证(https:)”复选框,在标为“将该 Web 站点添加到区域中”的框中,键入信任的站点 URL(例如http://windowsupdate.microsoft.com),然后单击“添加”按钮,添加完所有站点后,单击“确定”。
注意:如果使用了Outlook 2002 或 Outlook Express 6.0 或更高版本,要使自己不受 HTML 电子邮件攻击媒介的危害,可以使用纯文本格式阅读电子邮件。
