微软IE缺乏必要属性 对歹意站点存在保险破绽
Internet Explorer是微软发布的十分风行的WEB浏览器。IE没有正确地处理窗口对象的location或location.href属性,如果用户受骗访问了恶意站点的话,就会绕过跨域安全限制,在用户浏览器会话中执行任意指令。
宣布日期:20080626
更新日期:20080627
受影响体系:
Microsoft Internet Explorer 6.0
Microsoft Windows XP SP2
描写:
BUGTRAQ ID: 29960
Internet Explorer是微软发布的无比流行的WEB浏览器。
IE不准确地处置窗口对象的location或location.href属性,假如用户上当拜访了恶意站点的话,就会绕过跨域平安限度,在用户阅读器会话中履行任意指令。
这个跨域安全问题的实质是浏览器在处理window对象的操作有所疏漏,没有斟酌明白不同域有继续关联的window对象操作后的变更,只是对window对象的一些方式的参数做了相似数据类型的限制,导致最后绕过制约跨域执行了脚本。
.起源:rayh4c rayh4c80sec.
链接:secunia./advisories/30857/
blogs.zdnet.security.chinaitlab./p1348
.
倡议:
厂商补丁:
Microsoft
泛亚娱乐|厂商还没有供给补丁或者进级程序,咱们提议应用此软件的用户随时厂商的主页以获取最新版本:
阅读(119) | 评论(0) | 转发(0) |