Microsoft安全公告(MS00-085)

/ns/ld/win/data/20010107050620.htm

Microsoft安全公告(MS00-085)
- --------------------------------------
用于"ActiveX Parameter Validation"漏洞的补丁
最初发布: November 2, 2000

摘要
=======
Microsoft发布了一个补丁消除Microsoft(r) Windows 2000中的一个安全漏洞。这个漏洞能够允许
恶意用户潜在地在另一个用户主机上运行代码。

关于这个漏洞和补丁的更多信息请参看以下地址:
http://www.microsoft.com/technet/security/bulletin/fq00-085.asp

公告
=====
作为Windows 2000的一部分附带的ActiveX控制器包含一个未经检查的缓冲区。
如果控制器被一个WEB爷或HTML mail以一个畸形参数调用,它可能由于缓冲区溢出而导致在主机上执行代码。
这可能潜在地能够使恶意用户在用户主机上执行任何希望的行为,仅仅限制于用户的许可。

只有当ActiveX在IE, Outlook或Outlook Express中被激活时,这个漏洞才会被利用到。
IE中Security Zones特性能够让用户限制WEB站点能做什么,然后使用这个特性来防止不信任站点调用ActiveX控制器
的用户能够在基于WEB的攻击情形中承担最小的风险。应用了Outlook Security Update能够保护用户不受mail-borne的攻击,
因为它将mail移至Restricted Sites Zone,从而防止HTML mails调用ActiveX控制器。


受影响的软件版本
==========================
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Datacenter Server

有效的补丁
==================
- http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25532

注意:附加的安全补丁可以在Microsoft下载中心找到。

更多信息
================
更多关于这篇公告的信息请看以下参考资料:
- 常见问题: Microsoft安全公告MS00-085,
http://www.microsoft.com/technet/security/bulletin/fq00-085.asp
- Microsoft Knowledge Base article Q278511 discusses this issue and
will be available soon.
- Microsoft TechNet Security web site,
http://www.microsoft.com/technet/security/default.asp

从这篇公告中能获得的支持
===============================
这是个完全支持的补丁. 联系Microsoft Product Support Services的信息可以在下列地址找到:
http://support.microsoft.com/support/contact/default.asp