Microsoft IE GetObject()目录遍历文件泄露漏洞

漏洞信息详情

Microsoft IE GetObject()目录遍历文件泄露漏洞

• CNNVD编号：CNNVD-200203-025
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0023
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-01-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Georgi Guninski※ g…

Microsoft IE是与Windows系统捆绑在一起的流行的Web浏览器。
Microsoft IEGetObject()\’\’JScript函数存在输入验证漏洞，攻击者可能利用这个漏洞读取系统上任意已知文件名的文件。
当ActiveX控件\’\’htmlfile.\’\’调用\’\’GetObject()\’\’JScript函数时，如果URL中包含以\”../\”开头的字串，则可能访问到主机上Web目录之外的文件。通过在恶意网页上放置这种构造的URL，攻击者可以访问到客户端驱动器上任意已知文件名的文件。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在IE中设置禁止活动脚本的执行。
厂商补丁：
Microsoft
———
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp” target=”_blank”>
http://www.microsoft.com/windows/ie/default.asp

来源: BID
名称: 3767
链接:http://www.securityfocus.com/bid/3767

来源: MS
名称: MS02-005
链接:http://www.microsoft.com/technet/security/bulletin/ms02-005.asp

来源: BUGTRAQ
名称: 20020101 IE GetObject() problems
链接:http://archives.neohapsis.com/archives/bugtraq/2002-01/0000.html

来源: XF
名称: ie-getobject-directory-traversal(7758)
链接:http://xforce.iss.net/xforce/xfdb/7758

来源: OSVDB
名称: 3030
链接:http://www.osvdb.org/3030

来源: US Government Resource: oval:org.mitre.oval:def:77
名称: oval:org.mitre.oval:def:77
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:77

来源: US Government Resource: oval:org.mitre.oval:def:50
名称: oval:org.mitre.oval:def:50
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:50

来源: US Government Resource: oval:org.mitre.oval:def:40
名称: oval:org.mitre.oval:def:40
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:40

来源: US Government Resource: oval:org.mitre.oval:def:17
名称: oval:org.mitre.oval:def:17
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:17