Microsoft Internet Explorer历史列表脚本插入漏洞

漏洞信息详情

Microsoft Internet Explorer历史列表脚本插入漏洞

• CNNVD编号：CNNVD-200212-760
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1688
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-04-15
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Andreas Sandblad※ …

Microsoft Internet Explorer是一款由Microsoft开发维护的流行的WEB浏览器。
Microsoft Internet Explorer在处理历史列表中存在漏洞，可导致远程攻击者插入任意脚本代码到历史列表中并执行。
Microsoft Internet Explorer在浏览器历史列表中使用javascript：URL方式存储，而包含在javascript：URL中的脚本代码会以最后查看页面的安全区域上下文来执行，此功能可以保护针对包含在恶意构建WEB页中javascript：URL的攻击。但是攻击者可以设置成到用户点击\’\’后退\’\’ 键时触发javascript：URL，这可以导致包含在javascript：URL中的脚本代码在其他页面中的上下文内容中执行。
当按\’\’后退\’\’键页面装载失败时，一般行为是会显示由IE在本地安全区域中操作的错误页面(在w2k中是res：//C：＼WINNT＼System32＼shdoclc.dll/dnserror.htm＃)，因此javascript：URL中的脚本代码可以在本地安全区域上下文中执行，或者读取任意本地文件内容。

厂商补丁：
Microsoft
———
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp” target=”_blank”>
http://www.microsoft.com/windows/ie/default.asp

来源: XF
名称: ie-history-javascript-urls(8844)
链接:http://xforce.iss.net/xforce/xfdb/8844

来源: BID
名称: 4505
链接:http://www.securityfocus.com/bid/4505

来源：NSFOCUS
名称：2606
链接：http://www.nsfocus.net/vulndb/2606