Microsoft IE违背同源策略漏洞

漏洞信息详情

Microsoft IE违背同源策略漏洞

• CNNVD编号：CNNVD-200203-003
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0027
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2001-12-20
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-12
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  the Pull※ osionius…

Microsoft Internet Explorer是与Windows操作系统捆绑在一起的流行的Web浏览器。
Microsoft IE存在设计问题，可能会违背同源策略，导致用户敏感信息泄露。
在现代浏览器中，一个Web站点上下文执行的脚本不应该可以能够访问到其他站点的相关实体。这个安全功能称为\”同源策略\”，这可以使恶意网页不能窃取其它不同窗口中的敏感信息。当有漏洞的IE浏览器用document.Open()在父窗口中打开一个子窗口时，在父窗口上下文运行的脚本可能访问到子窗口中的实体。攻击者可能借这个漏洞得到用户的敏感信息、在别的网站上执行操作、传输用户文件到攻击者控制的网站等危坏行为。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在IE中设置禁止活动脚本及ActiveX控件执行。
厂商补丁：
Microsoft
———
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp” target=”_blank”>
http://www.microsoft.com/windows/ie/default.asp

来源: BID
名称: 3721
链接:http://www.securityfocus.com/bid/3721

来源: MS
名称: MS02-005
链接:http://www.microsoft.com/technet/security/bulletin/ms02-005.asp

来源: BUGTRAQ
名称: 20011219 Internet Explorer Document.Open() Without Close() Cookie Stealing, File Reading, Site Spoofing Bug
链接:http://www.securityfocus.com/archive/1/246522

来源: OSVDB
名称: 3031
链接:http://www.osvdb.org/3031

来源: US Government Resource: oval:org.mitre.oval:def:974
名称: oval:org.mitre.oval:def:974
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:974