关键信息摘要 漏洞概述 漏洞描述:Microsoft Internet Explorer处理特定HTTP回复字符串时存在缺陷,使得网站可以伪造请求文件的名称并伪装成无害文件。此漏洞可能自动下载并运行程序文件,无需用户交互或决定。 影响范围:访问恶意网站或打开HTML邮件时,可能导致系统被攻破。 版本影响:测试发现IE 6, 5.5, 和 5.0 版本均受影响,IE 5.5 SP2 未自动下载并运行.exe程序,但可能对变种攻击(不同的MIME类型或HTTP头内容)易感。 易受攻击的版本 详细 漏洞问题在于IE处理Content-type和Content-disposition HTTP头的方式。通过精心设计的回复字符串,浏览器未经用户确认即可下载并执行文件。 该方法同样会导致浏览器逻辑误导,触发自动执行程序。 解决方案 如果无法应用补丁,可通过禁用文件下载功能来阻止攻击。 临时解决办法:使用不受此问题影响的浏览器,如Opera或Netscape。 厂商响应 11月19日初步通知微软关于“文件扩展名欺骗”问题。 11月27日告知微软新变种问题,微软随即开始修复工作。 补丁已发布,可在微软网站下载:http://www.microsoft.com/technet/security/bulletin/MS01-058.asp