|
IE中错误VBScript处理让网页读取本地文件
发布日期:2002-2-22(MS02-009)
安全威胁:严重
安全影响:信息泄露
受影响系统:
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0
漏洞描述:
IE中的框架(Frame)能提供更丰富的浏览效果。在设计上,框架中的脚本使禁止访问另一网站或者域中的框架内容。但是,IE在处理VBScript脚本的跨域权限确认时存在缺陷,可以让框架在一个域内脚本访问另外一个域中的内容。
恶意者可利用这个漏洞,通过脚本去访问其他域中的框架内容,然后发送这些内容回他们的网站,这可以让攻击者访问用户本地的文件信息,也能俘获用户访问的第三方网站的内容。最严重的问题时,可以让攻击者知道用户的个人信息,比如用户名、密码,甚至信用卡信息等。
一个用户可能在访问攻击者的网站或者浏览攻击者发送的EMAIL的时候被利用这个漏洞。但是,攻击者要访问文件系统,必须知道文件名称和路径,攻击者也只能获得权限通过浏览器显示文件。
注意:
1、攻击者只能浏览文件,而没有修改和添加文件的权限。
2、这个漏洞只能让攻击者能够浏览那些能在浏览器打开的文件,比如图片、HTML文件、TXT等,而其他文件类型比如二进制文件、可执行文件、WORD文档等是不能被读的。
3、如果攻击者要读出文件,他需要得到详细的文件名和文件路径。
4、如果用户通过Outlook 98 or 2000 with the Outlook Email Security Update installed; Outlook 2002; or Outlook Express 6这些方式来阅读邮件可以阻止通过EMAIL利用这个漏洞。
解决方案:
金山毒霸安全小组提供的安全建议:
如果使用Outlook 98 or 2000 with the Outlook Email Security Update installed; Outlook 2002; 或者 Outlook Express 6,那么就不会存在EMAIL威胁,这时这个漏洞只有攻击者通过网站才能利用起来,建议用户不要访问一些潜在的非安全网站,避免本地文件信息被泄露。
微软已经为此发布了一个安全公告(MS02-009)以及相应补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS02-009.asp
补丁下载:
http://www.microsoft.com/Windowsupdate
(,2002-02-22)
|
