IE浏览器跨域重定向漏洞及解决方案

　　受影响版本以及系统：

　　Microsoft Internet Explorer 6

　　Microsoft Windows 系统

　　漏洞描述：

　　当浏览器在一个域打开一个浏览页面然后被Web服务器重定向到其他域时，IE需要确定浏览页面的安全区域，在此过程中存在一个跨域漏洞。为了将页面内容转向至新域，需要具备一系列比较复杂的条件，包括一个延迟的HTTP响应(3xx状态码)。

　　漏洞危害：

　　为了欺骗受害者浏览HTML文件(网页、HTML邮件)，攻击者能够在包含攻击文件的另一安全域执行脚本。通过在本地区域执行脚本，攻击者能够以用户运行IE的权限执行任意代码。

　　解决方案：

　　在微软提供全面解决方案之前，请先参考以下意见：

　　1.关闭活动脚本和ActiveX控件：

　　打开IE安全性设置，分别在Internet区和本地区关闭活动脚本和ActiveX控件将可以阻止该漏洞被利用。有关如何在Internet区关闭活动脚本可在微软网站的“恶意网页脚本FAQ”中查阅，有关保护本地区的信息可参考微软知识库833633号文。Windows XP (目前在 RC1)SP2中包括对IE相关问题的安全升级。　　http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/winxpsp2.mspx

　　2.不要点击访问主动提供的链接，不要点击邮件、即时消息、网络论坛或者网络中继聊天频道(IRC)中提供的任何不明链接。

　　3.保持更新的反病毒软件能够辨别和防御一些攻击，但是也不能完全依赖于此。

　　4.安装Outlook安全补丁：

　　Outlook 98

　　http://www.microsoft.com/downloads/details.aspx?FamilyID=48B0BC6A-B123-4F48-B27D-119078B4819F&displaylang=

　　Outlook 2000

　　http://www.microsoft.com/downloads/details.aspx?FamilyID=5C011C70-47D0-4306-9FA4-8E92D36332FE&displaylang=EN

　　5.使用别的浏览器