微软发布安全通告2501696

发布日期：2011年1月28日
发布机构：微软安全响应中心（MSRC）

今日我们发布安全通告2501696，该通告描述了一个公开披露的脚本漏洞，影响所有版本的Microsoft Windows。此漏洞主要影响是可能导致非预期的信息泄露。我们注意到已公开的信息和概念验证代码试图利用此漏洞，但目前未发现主动攻击迹象。

漏洞详情

该漏洞存在于MHTML（聚合HTML的MIME封装）协议处理程序中，该程序被应用程序用于渲染特定类型的文档。攻击该漏洞的影响类似于服务器端跨站脚本（XSS）漏洞。例如，攻击者可构建一个旨在触发恶意脚本的HTML链接，并诱使目标用户点击。用户点击该链接后，恶意脚本将在当前Internet Explorer会话期间在用户计算机上运行。此类脚本可能收集用户信息（如电子邮件）、欺骗浏览器中显示的内容或以其他方式干扰用户体验。

修复方案

我们建议客户应用的临时解决方案是锁定MHTML协议，从而有效解决客户端系统上的问题。我们提供Microsoft Fix-it包以进一步自动化安装。

在与其他服务提供商的合作中，我们正在寻找可能的方案，以便他们在服务器端提供保护。我们的安全研究与防御团队已发布博客文章讨论一些可行选项。但由于问题的性质，微软官方唯一推荐的解决方案是通告中确定的方案。我们将继续与行业其他方紧密合作，并感谢至今的合作。

响应进程

我们已启动软件安全事件响应流程（SSIRP）来管理此问题。我们也在与其他服务提供商沟通，解释此问题可能如何影响第三方网站，并合作开发多种进一步解决方案，以满足互联网生态系统各部分的多样化需求——大型站点、小型站点及所有访问者。

同时，我们正在开发安全更新以解决此漏洞，并密切监控威胁态势。如有变化，我们将在MSRC博客上发布更新。

感谢阅读——
Angela Gunn
可信计算部门