位置:首页 > 电脑资讯 > 微软发布十一月安全公告:MS04-039

微软发布十一月安全公告:MS04-039

时间:2005-11-24  |  作者:Microsof  |  阅读:137
    9日,微软安全中心发布了11月漏洞安全公告:MS04-039危害等级为“重要”,请广大用户尽快到微软官方网站下载微软最新补丁。

编号:MS04-039
名称:ISA Server 2000 和 Proxy Server 2.0 中的安全漏洞可能给 Internet 内容欺骗以可乘之机
KB编号:888258
等级:重要
安全更新替代:无漏洞描述:
这是存在于受影响的产品中并且使攻击者可以进行受信任 Internet 内容欺骗的欺骗漏洞。 用户可能在实际上正在访问恶意 Internet 内容(例如恶意网站)时,以为自己正在访问受信任的 Internet 内容。 但是,攻击者首先必须劝诱用户访问攻击者的站点,以试图利用此漏洞。

受影响的软件:

· Microsoft Proxy Server 2.0 Service Pack 1 – 下载此更新 (英文)
· Microsoft Internet Security and Acceleration Server 2000 Service Pack 1 和 Microsoft
  Internet Security and Acceleration Server 2000 Service Pack 2 – 下载此更新 (英文)

注意:
Microsoft Small Business Server 2000 和 Microsoft Small Business Server 2003 Premium Edition 包括 Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000)。 Microsoft Small Business Server 2000 和 Microsoft Small Business Server 2003 客户应安装提供的 ISA Server 2000 安全更新。


不受影响的软件:
·Microsoft Internet Security and Acceleration (ISA) Server 2004


严重等级和漏洞标识:
漏洞标识漏洞的影响Proxy Server 2.0ISA Server 2000

欺骗漏洞 - CAN-2004-0892

欺骗
重要重要

减轻影响的方式:


· 攻击者不能利用此漏洞进行 SSL 证书欺骗。 攻击不能成功地使用属于其他域名的 SSL 证书。
  例如,欺骗网站不能使用受信任网站的 SSL 证书与用户建立 SSL 会话。 如果欺骗网站尝试这样
  做,身份验证会失败,并且用户收到警告消息。

· 攻击者首先必须劝诱用户查看导致反向搜索的内容。 例如,攻击者可能劝诱用户使用导致反向搜
  索的 IP 地址访问攻击者的网站。

· 启用默认站点和内容规则而允许“所有通信量”至“所有目标”的系统不受此漏洞的影响。 但是
  ,作为一种安全最佳做法准则,通常禁用此规则,因此我们建议不要为了减轻此问题漏洞的影响
  而启用此规则。

相关文章

更多
  • 时间:1970-01-01

精选合集

更多