IE在安装组件时候存在“后门”
次安全漏洞发布于2000年2月22日 by Juan Carlos Garcia Cuartango

影响版本
Internet Explorer 4.x and 5.x 

漏洞描述
 跟IE发布的一个名称为 MS Active Setup的组件，该组件随IE 4.x和5.x一起安装，它有意提供了
通过Internet的远程安装软件的技术。该组件将安装带有数字签名的软件。
 在正常的操作下，所有的安装进程都将提醒用户要安装软件了，但是，由于Microsoft将它和
桌面系统紧密地绑定在一起，所以当安装带有Microsoft签名的软件时，将强迫该正常操作不发出
警告信息就直接安装和注册组件。
 由于某些特定原因，Microsoft软件包和Windows操作系统之间的信任关系，而用户对这种信任关系
没有任何控制权利。
 Juan充分的指出了这点一点，当用户通常访问一个由Microsoft控制的网站时，Microsoft都可能
有机会在在用户不知情的情况下控制远程系统。
 如果这个技术被一个入侵者掌握，那么他可以轻易的使用一个老版本带有bug的组件替换掉远程
系统中的最新的和加过patch的版本，从而让该用户成为牺牲品。