MS05-014:Internet Explorer浏览器 累积安全更新

本文的目标读者：使用 Microsoft Windows 的客户

漏洞的影响：远程执行代码

最高严重等级：严重

建议：客户应立即应用此更新。

安全更新取代 此更新取代 Microsoft 安全公告 MS04-038 附带的更新。 此更新也是累积性更新。 此更新也取代 Microsoft 安全公告 MS04-040 附带的更新。 此更新也是 Internet Explorer 6 Service Pack 1 的累积性更新。

注意事项：Microsoft 知识库文章 867282 说明了客户在安装此安全更新时可能遇到的当前已知的问题。 本文还介绍了这些问题的建议解决办法。 有关详细信息，请参阅 Microsoft 知识库文章 867282。

此更新包括自 MS04-004 或 MS04-025 发布后发布的修补程序，但是这些修补程序将只安装在需要它们的系统上。 从 Microsoft 或其支持提供商那里获得自 MS04-004 或 MS04-025 发布后发布的修补程序的客户应查看此更新的常见问题解答部分的“我从 Microsoft 或我的支持提供商那里获得自 MS04-004 发布后发布的修补程序。此安全更新是否包括该修补程序？”常见问题解答，确定如何确保安装必需的修补程序。 Microsoft 知识库文章 867282 对此进行了更详细的描述。

重要：“拖放操作漏洞”(CAN-2005-0053) 的更新分为两部分。 在此安全公告中解决该漏洞的一部分。 此安全公告与安全公告 MS05-008 一起组成 CAN-2005-0053 的更新。 不必以任何特定顺序安装这些更新。 但是，我们建议您安装这两个更新。

测试过的软件和安全更新下载位置：

受影响的软件：

测试过的 Microsoft Windows 组件：

受影响的组件：

已对此列表中的软件进行了测试，以确定是否这些版本会受到影响。 其他版本或者不再包括安全更新支持，或者可能不会受到影响。 要确定产品和版本的技术支持生命周期，请访问 Microsoft 产品技术支持生命周期网站。

摘要：

此更新可消除多个公开报告和秘密报告的新发现漏洞。 本公告的“漏洞详细资料”部分对每个漏洞进行了说明。

如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

我们建议用户立即应用此更新。

严重等级和漏洞标识：

漏洞标识	漏洞的影响	Internet Explorer 5.01 Service Pack 3 和 Service Pack 4	Windows ME 上的 Internet Explorer 5.5 Service Pack 2	Internet Explorer 6 Service Pack 1（Windows Server 2003 之前的所有版本）	Internet Explorer 6 for Windows Server 2003（包括 64 位版本）	Internet Explorer 6 for Windows XP Service Pack 2
拖放操作漏洞 - CAN-2005-0053	远程执行代码	重要	不严重	重要	中等	重要
URL 解码区欺骗漏洞 - CAN-2005-0054	远程执行代码	严重	严重	严重	中等	重要
DHTML 方法堆内存损坏漏洞 - CAN-2005-0055	远程执行代码	严重	严重	严重	严重	严重
频道定义格式 (CDF) 跨域漏洞 - CAN-2005-0056	远程执行代码	中等	不严重	中等	低	低
所有漏洞的综合严重程度		严重	严重	严重	严重	严重

修订：

•	V1.0（2005 年 2 月 8 日）：已发布公告