Microsoft IE 5 剪贴板内容窃取漏洞

漏洞信息详情

Microsoft IE 5 剪贴板内容窃取漏洞

• CNNVD编号：CNNVD-200212-378
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1671
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-01-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Tom Gilder※ tom@vp…

Microsoft IE给基于Web的应用程序提供了剪贴板访问的功能。IE5实现了一个叫clipboardData的对象，它允许脚本访问剪贴板里的信息，这个对象可能是被合法的应用程序用来暂时储存数据和对剪贴板进行操纵的，比如进行拖放操作。不幸的是，这可能潜在地导致敏感信息暴露给恶意网站。这并不是一个严格意义上的漏洞，因为微软提供了设置选项来禁止这个功能，然而这个功能默认是使能的，而对漏洞利用的相关操作不需要提示用户就可以实施。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在IE菜单栏依次中选择：”工具”->”Internet 选项…”->”安全”->”Internet”(或者其他区域，例如”本地Intranet”、”受信任的站点”)，然后点击”自定义级别”,在”安全设置”中选择”脚本”->”允许通过脚本进行粘贴操作”，将其属性改为”禁用”，按”确定”保存设置。这样就能防止剪贴板内容被窃取。
厂商补丁：
Microsoft
———
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com” target=”_blank”>
http://www.microsoft.com

来源: XF
名称: ie-clipboarddata-view-clipboard(7906)
链接:http://xforce.iss.net/xforce/xfdb/7906

来源: BID
名称: 3862
链接:http://www.securityfocus.com/bid/3862

来源：NSFOCUS
名称：2135
链接：http://www.nsfocus.net/vulndb/2135