Microsoft IE VBScript读取任意文件漏洞(MS02-009)

漏洞信息详情

Microsoft IE VBScript读取任意文件漏洞(MS02-009)

• CNNVD编号：CNNVD-200203-019
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0052
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-02-21
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Zentai Peter Aron

在现代浏览器中，一个Web站点上下文执行的脚本不应该可以能够访问到其他站点的相关实体。这个安全功能称为\”同源策略\”，这可以使恶意网页不能窃取其它不同窗口中的敏感信息。
Microsoft IE的VBScript实现上存在一个漏洞，违背了同源策略，可能导致用户敏感信息泄露。
恶意的VBScript可能利用IE访问到其它站点或域的帧(frame)中的内容，这可能是因为是计算域边界的时候出现了问题，IE试图跨不同的帧对一般域中的内容进行分组。攻击者可能借这个漏洞得到用户与其他站点会话的信息(包括用户名、口令等信息)或者传输用户文件到攻击者控制的网站。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 不要使用未修补过的IE浏览不可信的站点。

* 在IE中设置禁止活动脚本的执行：

在 工具->Internet选项->安全->脚本->活动脚本 选择禁用。
厂商补丁：
Microsoft
———
Microsoft已经为此发布了一个安全公告(MS02-009)以及相应补丁:

MS02-009：Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files

链接：http://www.microsoft.com/technet/security/bulletin/MS02-009.asp” target=”_blank”>
http://www.microsoft.com/technet/security/bulletin/MS02-009.asp

补丁下载：

http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp” target=”_blank”>
http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp

来源: MS
名称: MS02-009
链接:http://www.microsoft.com/technet/security/bulletin/ms02-009.asp

来源: BID
名称: 4158
链接:http://www.securityfocus.com/bid/4158

来源: OSVDB
名称: 763
链接:http://www.osvdb.org/763

来源: SECTRACK
名称: 1003630
链接:http://securitytracker.com/id?1003630