IE5.01和Excel/Powerpoint 2000 ActiveX Object执行漏洞发布时间:2000-09-15 更新时间:2000-09-15 严重程度:高 威胁程度:远程管理员权限 错误类型:设计错误 利用方式:客户机模式 受影响系统 Microsoft Internet Explorer 5.01详细描述 在IE5.01中的ACTIVEX OBJECT可以通过EXCEL和Powerpoint 2000和包含OBJECT 标签的WEB页上或者利用IFRAME的HTML MAIL形式来执行,一个OBJECT的例子就是 SaveAs OBJECT,它可以利用来保存EXCEL和POWERPOINT文件到远程系统上任意 位置的任何文件,并且不需要验证用户。你可以把程序保存在启动文件夹里,或者 保存为*.hta文件形式,就可以在下次启动的时候来执行。 测试代码 Georgi Guninski 设置了一个演示的页面并把georgi-xla.hta放在你的系统上, 并在下一次LOGIN的时候执行: http://www.nat.bg/~joro/sheetex.html 解决方案 关闭ACTIVEX。 相关信息 |
