HTML 帮助 ActiveX 控件中存在跨域漏洞，因而可能导致信息泄露甚至在受影响的系统上远程执行代码。 攻击者可以通过建立恶意网页来利用此漏洞，如果用户访问该页面，即有可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。

 影响系统:

    Microsoft Windows 2000 Service Pack 3和Microsoft Windows 2000 Service Pack 4

    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2

    Microsoft Windows XP 64-Bit Edition Service Pack 1

    Microsoft Windows XP 64-Bit Edition 2003版

    Microsoft Windows Server 2003

    Microsoft Windows Server 2003 64-Bit Edition

    Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft

    Windows Millennium Edition (Me)

 风险:高 

 危害描述:

如果用户使用管理权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全权限的新帐户。 帐户配置系统权限较少的用户比具有管理权限的用户受到的威胁要小。

 解决方案:

临时解决方案：

  * 将Internet和本地intranet安全区设置为“高”，这样在Internet区和本地intranet区中运行ActiveX控件和活动脚本之前会得到提示

  * 将Web站点仅限为可信任的Web站点

  * 如果在使用Outlook 2000 SP1或更早版本的话，请安装Outlook E-mail Security Update

  * 如果在使用Outlook Express 5.5 SP2的话，请安装Microsoft安全公告MS04-018中所述的更新

  * 如果在使用Outlook 2002或之后版本，或Outlook Express 6 SP1或之后版本的话，以纯文本格式阅读e-mail消息可以帮助防范HTML e-mail攻击.

  * 临时禁止在Internet Explorer中运行HTML帮助ActiveX控件

补丁程序下载：

厂商已经针对该漏洞发布了相应的安全公告和补丁程序

 参考连接:

MS05-001  http://www.microsoft.com/technet/security/bulletin/MS05-001.mspx

文章来源:中国教育和科研计算机网紧急响应组