WinXP安全漏洞系统（6）

WinXP安全漏洞系统6

九、Authenticode验证中的漏洞

「漏洞描述」：Authenticode 中存在一个缺陷，在内存较低的某种情况下，它可以允许 ActiveX 控件下载和安装，并且不会提示用户予以同意。为了利用此漏洞，黑客可以向用户发送特殊形式的 HTML 电子邮件，如果你查看了该 HTML 电子邮件，你的系统中则可能安装和执行未经授权的 AcitiveX 控件。或者，黑客设立一个恶意的 Web 站点，放上利用此漏洞的Web 页，如果你访问该站点，你的系统中就可能会安装和执行 AcitiveX 控件。

「解决办法」：下载安装该问题的安全补丁，下载地址http://www.microsoft.com/china/security/Bulletins/MS03-041.asp，如果不能安装补丁，应该通过更改Internet 安全区域的设置来禁止下载 ActiveX 组件，防备针对此漏洞的攻击，操作步骤：在 Internet Explorer 中，选择“工具”/Internet 选项，单击“安全”选项卡，选择“Internet”图标，然后单击“自定义级别”按钮，在“下载已签名的 ActiveX 控件”下，单击“禁用”（如下图），最后单击“确定”。

以上操作之后，你可以将信任的站点添加到 Internet Explorer的“可信”站点中，以便继续照常使用可信Web站点，同时又避免在非可信站点中遭受此攻击，具体步骤：在 Internet Explorer 中，选择“工具”/Internet 选项，单击“安全”选项卡中的“可信站点”，然后单击“站点”，如果想添加不需要加密频道的站点，清除“对该区域中的所有站点要求服务器验证（https：）”复选框，在标为“将该 Web 站点添加到区域中”的框中，键入信任的站点 URL（例如http://windowsupdate.microsoft.com），然后单击“添加”按钮，添加完所有站点后，单击“确定”。

;注意：如果使用了OutLook 2002 或 Outlook Express 6.0 或更高版本，要使自己不受 HTML 电子邮件攻击媒介的危害，可以使用纯文本格式阅读电子邮件。