涉及程序：

IE 6，IE 5.01 SP2

描述：

IE自动下载程序并运行的漏洞

详细：

在IE中存在一个漏洞，如果攻击者利用此漏洞建立一个恶意的站点，当用户使 用IE浏览这个站点时，在好几种情况下恶意的攻击程序就会自动下载到用户系

统上并运行。

如当用户浏览的内容中含有以下的HTTP应答报头时，就会发生：

Content-Type: audio/x-ms-wma

Content-disposition: inline; filename="foo.exe"

以上描述仅仅是一个实例，使用其它的Content-Type报头，像audio/midi，也

存在同样的问题。

这个漏洞在以下情况受影响（在SNS以前的公告中说仅仅 IE 6 受此漏洞的影响 ，但是现在被进一步证实IE 5.01 SP2 也有这样的漏洞）：

(1) Windows NT 4.0 Workstation + SP6a

+ IE 6 + all available fixes [Japanese version]

(2) Windows NT 4.0 Workstation + SP6a + Windows Media Player 6.4

+ IE 6 + all available fixes [Japanese version]

(3) Windows 2000 Professional + SP2 + SRP1 + Windows Media Player 6.4

+ IE 6 + all available fixes [Japanese version]

(4) Windows 2000 Professional + SP2 + SRP1 + Windows Media Player 6.4

+ IE 5.01 SP2 + all available fixes [Japanese version]

(5) Windows 98 + Windows 98 System Update + Windows Media Player 6.4

+ IE 6 + all available fixes [Japanese version]

(6) Windows 2000 Professional + SP2 + SRP1 + Windows Media Player 7.1

+ IE 6 + Office 2000 SR-1 + all available fixes [Japanese version]

注意: Windows Media Player 6.4 在 Windows 2000 和 Windows 98中是被默

认安装的.

解决方案：

下载补丁：

http://www.microsoft.com/windows/ie/downloads/critical/Q321232/defaul

t.asp

主目录 分目录