微软IE缺乏必要属性 对歹意站点存在保险破绽






Internet Explorer是微软发布的十分风行的WEB浏览器。IE没有正确地处理窗口对象的location或location.href属性，如果用户受骗访问了恶意站点的话，就会绕过跨域安全限制，在用户浏览器会话中执行任意指令。

宣布日期：20080626

更新日期：20080627

受影响体系：

Microsoft Internet Explorer 6.0

Microsoft Windows XP SP2

描写：



BUGTRAQ ID: 29960

Internet Explorer是微软发布的无比流行的WEB浏览器。

IE不准确地处置窗口对象的location或location.href属性，假如用户上当拜访了恶意站点的话，就会绕过跨域平安限度，在用户阅读器会话中履行任意指令。

这个跨域安全问题的实质是浏览器在处理window对象的操作有所疏漏，没有斟酌明白不同域有继续关联的window对象操作后的变更，只是对window对象的一些方式的参数做了相似数据类型的限制，导致最后绕过制约跨域执行了脚本。

.起源：rayh4c rayh4c80sec.

链接：secunia./advisories/30857/

blogs.zdnet.security.chinaitlab./p1348





.

倡议：



厂商补丁：

Microsoft



泛亚娱乐|厂商还没有供给补丁或者进级程序，咱们提议应用此软件的用户随时厂商的主页以获取最新版本：