Microsoft 安全通报 (935423)

如果客户在 Windows Vista 上使用 Internet Explorer 7 ，则由于 Internet Explorer 7.0 的保护模式，他们可以免遭当前已知的基于 Web 的攻击。 有关 Internet Explorer 保护模式的详细信息，请参阅下列网站。

默认情况下，Outlook 2007 使用 Microsoft Word 显示电子邮件，这样可保护客户免受 HTML 电子邮件预览和攻击媒介的攻击。

在基于 Web 的攻击中，攻击者必须拥有一个网站，并在上面放置用来利用此漏洞的网页。 攻击者还可以尝试构建一个网站并且通过它来提供带有恶意内容的网页，进而利用此漏洞。 攻击者无法强迫用户访问网站。 相反，攻击者必须劝诱用户访问该网站，通常是让用户单击通向攻击者站点或攻击者构建的站点的链接。

成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

如果您使用的是 Outlook 2002 或更高版本或者 Windows Mail，请用纯文本格式阅读电子邮件，以帮助保护自己免受来自 HTML 电子邮件预览攻击媒介的攻击。
已应用了 Office XP Service Pack 1 或更高版本的 Microsoft Outlook 2002 用户可以启用此设置，并查看未经过数字签名的电子邮件或者未加密的电子邮件。

注意事项： 在 Windows Vista Mail 上以纯文本格式阅读电子邮件，并不会缓解转发和回复攻击者发送的邮件时尝试利用漏洞的影响。

注意： 在 Outlook Express 上以纯文本格式阅读电子邮件并不会缓解尝试利用此漏洞的影响。

变通办法的影响： 用纯文本格式查看的电子邮件中不会包含图片、特殊字体、动画或其他丰富内容。 此外：

保护您的 PC

我们仍鼓励客户按照“保护您的 PC”指导启用防火墙、获取软件更新并安装防病毒软件。 客户可以访问“保护您的 PC”网站了解有关这些步骤的更多信息。

有关安全上网的详细信息，客户可以访问 Microsoft 安全主页。

认为他们已经受到攻击的客户应该联系当地的 FBI 办事处或在网络欺诈申诉中心网站上进行投诉。 美国以外的客户应该联系其所在国家或地区的国家执行机构。

所有客户应该应用 Microsoft 发布的最新安全更新，从而帮助确保其系统防止攻击企图。 已经启用了“自动更新”的客户将自动接收所有 Windows 更新。 有关安全更新的详细信息，请访问 Microsoft 安全网站。

我们建议客户在接受来自已知或未知来源的文件传输时要格外小心。 有关使用 MSN Messenger 时如何帮助保护计算机的详细信息，请参阅 MSN Messenger 常见问题解答网站。

保持 Windows 最新

所有 Windows 用户应该应用最新的 Microsoft 安全更新，帮助确保其计算机尽可能受到最好的保护。 如果不确定您的软件是否最新，请访问 Windows Update 网站，扫描您的计算机以获取可用更新，并安装向您提供的任何高优先级更新。 如果您启用了“自动更新”，我们在发布更新程序时，会向您发送这些更新程序，但是您必须确保安装它们。