发布日期:2005-10-12
更新日期:2005-10-13
受影响系统:
Microsoft Windows XP SP1
Microsoft Windows Server 2003
Microsoft Internet Explorer 6.0 SP1
- Microsoft Windows 2000 SP4 不受影响系统:
Microsoft Windows XP SP2
Microsoft Windows Server 2003 SP1
Microsoft Windows Server 2003
Microsoft Windows ME
Microsoft Windows 98se
Microsoft Windows 98
Microsoft Windows 2000SP4 描述:
BUGTRAQ ID: 12160
CVE(CAN) ID: CVE-2005-2126
Microsoft Windows是微软发布的非常流行的操作系统。
Microsoft Windows的Internet Explorer捆绑了内嵌的FTP客户端。这个FTP客户端不能正确地验证从FTP服务器接收的文件名。如果客户端手动选择使用FTP传输文件的话,攻击者就可以修改文件传输的目标位置。此漏洞可能允许攻击者将文件写入位于受影响的系统上的任何文件系统。
<*来源:Albert Puigsech Galicia (ripe@7a69ezine.org)
链接:http://www.securiteam.com/windowsntfocus/5NP0615EKM.html
http://www.microsoft.com/technet/security/Bulletin/MS05-044.mspx
http://www.us-cert.gov/cas/techalerts/TA05-284A.html
*>
建议:
临时解决方法:
在边界防火墙阻断:
* 不要从不可信任的FTP服务器下载文件。
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS05-044)以及相应补丁:
MS05-044:Vulnerability in the Windows FTP Client Could Allow File Transfer Location Tampering (905495)
链接:http://www.microsoft.com/technet/security/Bulletin/MS05-044.mspx
|
|
|
|
您当前的位置:
