漏洞信息详情

Microsoft Internet Explorer 安全漏洞

• CNNVD编号：CNNVD-200207-024
• 危害等级： 高危
  
• CVE编号： CVE-2002-0371
• 漏洞类型： 其他
• 发布时间： 2002-06-04
• 威胁类型： 远程
• 更新时间： 2021-07-26
• 厂        商： microsoft
• 漏洞来源： Jouko Pynnonen※ jo...

漏洞简介

Microsoft Internet Explorer（IE）是美国微软（Microsoft）公司的一款Windows操作系统附带的Web浏览器。

Microsoft Internet Explorer存在安全漏洞。Gopher是一款由University of Minnesota开发的文件目录查看协议。MSIE在处理Gopher协议时存在缓冲区溢出，可导致远程攻击者利用此漏洞以IE用户进程权限在客户端系统上执行任意指令。MSIE内置Gopher客户端，Gopher页可以通过在URL中以\"gopher：//\"为开头的方法进行访问，不过MS IE中的部分处理Gopher应答的数据存在漏洞，可导致客户端IE产生缓冲区溢出，溢出发生时，堆栈中的某一个固定缓冲区被来自Gopher服务器的数据覆盖，此数据可以包含0到255的字符，使得利用此漏洞更加容易。攻击者可以通过构建恶意WEB页面或者使用重定向恶意Gopher服务器的HTML邮件，当用户查看这些恶意链接时导致产生缓冲区溢出；服务器端可以简单的使用一程序监听TCP端口并对客户端写一块数据，不需要构建全部的Gopher功能。

漏洞公告

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 建议不使用Gopher协议：

在Internet选项中设置Gopher功能的代理，选择工具-->Internet选项-->连接，单击"局域网LAN设置"，勾取"使用代理服务器"，选择"高级"，在Gopher段处输入"localhost"及端口处输入"1"。

这将阻止IE直接接收、解释gopher信息。

厂商补丁：

Microsoft

---------

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp" target="_blank">

http://www.microsoft.com/windows/ie/default.asp

参考网址

来源:BUGTRAQ

链接:http://marc.info/?l=bugtraq&m=102397955217618&w=2

来源:CERT-VN

链接:http://www.kb.cert.org/vuls/id/440275

来源:MS

链接:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2002/ms02-027

来源:BUGTRAQ

链接:http://online.securityfocus.com/archive/1/276848

来源:MISC

链接:http://www.pivx.com/workaround_fail.HTML

来源:OVAL

链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A98

来源:XF

链接:http://www.iss.net/security_center/static/9247.php

来源:BUGTRAQ

链接:http://marc.info/?l=bugtraq&m=102320516707940&w=2

来源:BID

链接:https://www.securityfocus.com/bid/4930

受影响实体

• Microsoft Ie:5.0.1:Sp1  
• Microsoft Ie:5.0.1  
• Microsoft Ie:5.0.1:Sp2  
• Microsoft Isa_server:2000  
• Microsoft Proxy_server:2.0:Sp1  

补丁

暂无