您所在的位置：首页 > 资讯中心 > 电脑资讯 > 微软发布十一月安全公告:MS04-039

微软发布十一月安全公告:MS04-039

时间：2005-11-24 00:00:00 | 来源：Microsof | 编辑: 互联网 | 阅读：

9日，微软安全中心发布了11月漏洞安全公告：MS04-039危害等级为“重要”，请广大用户尽快到微软官方网站下载微软最新补丁。

编号：MS04-039
名称：ISA Server 2000 和 Proxy Server 2.0 中的安全漏洞可能给 Internet 内容欺骗以可乘之机
KB编号：888258
等级：重要
安全更新替代：无漏洞描述：
这是存在于受影响的产品中并且使攻击者可以进行受信任 Internet 内容欺骗的欺骗漏洞。用户可能在实际上正在访问恶意 Internet 内容（例如恶意网站）时，以为自己正在访问受信任的 Internet 内容。但是，攻击者首先必须劝诱用户访问攻击者的站点，以试图利用此漏洞。

受影响的软件：

· Microsoft Proxy Server 2.0 Service Pack 1 – 下载此更新 (英文)
· Microsoft Internet Security and Acceleration Server 2000 Service Pack 1 和 Microsoft
　 Internet Security and Acceleration Server 2000 Service Pack 2 – 下载此更新 (英文)

注意：Microsoft Small Business Server 2000 和 Microsoft Small Business Server 2003 Premium Edition 包括 Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000)。 Microsoft Small Business Server 2000 和 Microsoft Small Business Server 2003 客户应安装提供的 ISA Server 2000 安全更新。

不受影响的软件：
·Microsoft Internet Security and Acceleration (ISA) Server 2004

严重等级和漏洞标识：

漏洞标识	漏洞的影响	Proxy Server 2.0	ISA Server 2000
欺骗漏洞 - CAN-2004-0892	欺骗	重要	重要

减轻影响的方式：

· 攻击者不能利用此漏洞进行 SSL 证书欺骗。攻击不能成功地使用属于其他域名的 SSL 证书。
　例如，欺骗网站不能使用受信任网站的 SSL 证书与用户建立 SSL 会话。如果欺骗网站尝试这样
　做，身份验证会失败，并且用户收到警告消息。

· 攻击者首先必须劝诱用户查看导致反向搜索的内容。例如，攻击者可能劝诱用户使用导致反向搜
　索的 IP 地址访问攻击者的网站。

· 启用默认站点和内容规则而允许“所有通信量”至“所有目标”的系统不受此漏洞的影响。但是
　，作为一种安全最佳做法准则，通常禁用此规则，因此我们建议不要为了减轻此问题漏洞的影响
　而启用此规则。

网页仿冒又出新招用弹出窗口伪装地址栏

IE又现高危漏洞系统打全部补丁仍无济于事