Patch cumulativo do Microsoft Internet Explorer 5.01 SP2 Atualização de segurança.
Baixe Agora

Patch cumulativo do Microsoft Internet Explorer 5.01 SP2 Classificação e resumo

Patch cumulativo do Microsoft Internet Explorer 5.01 SP2 Tag

Atualização de segurança Atualização do Essentials de segurança Atualizar Essentials de segurança

Patch cumulativo do Microsoft Internet Explorer 5.01 SP2 Descrição

Da Microsoft: Este é um patch cumulativo que inclui a funcionalidade de todos os patches liberados anteriormente para o IE 5.01, 5.5 e 6.0. Além disso, elimina as seis vulnerabilidades recém-descobertas: uma vulnerabilidade de script por local em um recurso HTML local. Ou seja, navios com vários arquivos que contêm HTML no sistema de arquivos local para fornecer funcionalidade. Um desses arquivos contém uma vulnerabilidade de scripts transversais que pode permitir que um script seja executado como se fosse executado pelo usuário, fazendo com que ele seja executado na zona do computador local. Um invasor poderia criar uma página da Web com uma URL que explora essa vulnerabilidade e, em seguida, hospeda essa página em um servidor da Web ou envie-a como e-mail HTML. Quando a página da Web foi visualizada e o usuário clicou no link URL, o script do invasor injetado no recurso local, o script do invasor funcionaria na zona do computador local, permitindo que ele funcionasse com menos restrições do que de outra forma. Uma vulnerabilidade de divulgação de informações relacionadas ao uso do objeto HTML AM fornece que o suporte para folhas de estilo em cascata que poderiam permitir que um invasor leia, mas não adicione, exclua ou altere, dados no sistema local. Um invasor poderia criar uma página da Web que explora essa vulnerabilidade e, em seguida, hospeda essa página em um servidor da Web ou enviá-lo como e-mail HTML. Quando a página foi vista, o elemento seria invocado. Explorar com sucesso esta vulnerabilidade, no entanto, requer conhecimento exato do local do arquivo pretendido a ser lido no sistema do usuário. Além disso, requer que o arquivo pretendido contenha um único caractere ASCII parcicular. Uma vulnerabilidade de divulgação de informações relacionadas à manipulação de script dentro de cookies que poderiam permitir que um site lesse os cookies de outro. Um invasor pode construir um cookie especial contendo script e, em seguida, construir uma página da Web com um hiperlink que entregasse esse cookie para o sistema do usuário e invocá-lo. Ele poderia então enviar essa página da Web como correio ou postá-lo em um servidor. Quando o usuário clicou no hiperlink e a página invocou o script no cookie, ele poderia ler ou alterar os cookies de outro site. Exigir com sucesso, no entanto, exigiria que o invasor soubesse o nome exato do cookie, conforme armazenado no sistema de arquivos a serem lidos com sucesso. Uma vulnerabilidade de falsificação de zona que poderia permitir que uma página da Web seja incorretamente considerada na zona de intranet ou, em alguns casos muito raros, na zona de sites confiáveis. Um invasor poderia construir uma página da Web que explora essa vulnerabilidade e tentativa de atrair o usuário para visitar a página da web. Se o ataque for bem sucedido, a página seria executada com menos restrições de segurança do que é apropriada. Duas variantes da vulnerabilidade "Conteúdo" discutidas no Boletim de Segurança da Microsoft MS01-058 Afetando como os downloads dos downloads de conteúdo do arquivo para download e os cabeçalhos de tipo de conteúdo são intencionalmente malformados. Nesse caso, é possível acreditar que um arquivo é um tipo seguro para manuseio automático, quando na verdade é conteúdo executável. Um invasor poderia procurar explorar essa vulnerabilidade, construindo uma página web especialmente mal formada e postar um arquivo executável malformado. Ele poderia então postar a página da Web ou enviá-la para o alvo pretendido. Essas duas novas variantes diferem da vulnerabilidade original em que para que eles para um sistema seja vulnerável, ele deve apresentar uma aplicação presente que, quando é erroneamente passado o conteúdo malformado, escolhe maná-lo de volta ao sistema operacional em vez de aumentar imediatamente um erro. Um ataque bem sucedido, portanto, exigiria que o atacante saiba que a vítima pretendida possui uma dessas aplicações presentes em seu sistema. Finalmente, ele introduz uma mudança de comportamento para a zona de sites restritos. Especificamente, ele desativa quadros na zona de sites restritos. Como o Outlook Express 6.0, o Outlook 98 e o Outlook 2000 com o Outlook Email Security Atualizar e o Outlook 2002, todos lidos email na zona de sites restritos por padrão, esse aprimoramento significa que esses produtos agora desativam efetivamente os quadros em e-mail HTML por padrão. Esse novo comportamento impossibilita que um email HTML abra automaticamente uma nova janela ou inicie o download de um executável.

Patch cumulativo do Microsoft Internet Explorer 5.01 SP2 Software Relacionado