Microsoft Internet Explorer浏览器弹出窗口对象类型确认漏洞-一一网

漏洞信息详情

Microsoft Internet Explorer浏览器弹出窗口对象类型确认漏洞

CNNVD编号：CNNVD-200311-047

危害等级：高危
CVE编号：
CVE-2003-0838
漏洞类型：

输入验证
发布时间：

2003-09-07
威胁类型：

远程
更新时间：

2005-10-31
厂商：

microsoft
漏洞来源：
http-equiv※ http-e…

漏洞简介

Microsoft Internet Explorer是一款流行的WEB浏览器。
Internet Explorer当处理恶意弹出窗口时没有正确处理对象类型，远程攻击者可以利用这个漏洞在用户系统上执行恶意程序。
问题发生在当Internet浏览器接收到来自服务器的应答时，如果恶意弹出窗口包含对象标记，当IE解析时，由于缺少对对象类型中要装载的文件类型参数进行正确检查，攻击者可以构建恶意页面，诱使用户访问，导致恶意程序在用户浏览器上执行。

漏洞公告

厂商补丁：
Microsoft
———
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp” target=”_blank”>
http://www.microsoft.com/windows/ie/default.asp

参考网址

来源: MS
名称: MS03-040
链接:http://www.microsoft.com/technet/security/bulletin/ms03-040.asp

来源: securityresponse.symantec.com
链接:http://securityresponse.symantec.com/avcenter/venc/data/trojan.qhosts.html

来源: BUGTRAQ
名称: 20030907 BAD NEWS: Microsoft Security Bulletin MS03-032
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=106304733121753&w=2

来源: FULLDISC
名称: 20030907 BAD NEWS: Microsoft Security Bulletin MS03-032
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2003-September/009639.html

来源: XF
名称: ie-popup-code-execution(13314)
链接:http://xforce.iss.net/xforce/xfdb/13314

来源: BID
名称: 8556
链接:http://www.securityfocus.com/bid/8556

来源: OSVDB
名称: 7872
链接:http://www.osvdb.org/7872

来源: NTBUGTRAQ
名称: 20031001 DNS/Hosts file issues
链接:http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0310&L=ntbugtraq&F=P&S=&P=2169

来源: NTBUGTRAQ
名称: 20030907 BAD NEWS: Microsoft Security Bulletin MS03-032
链接:http://marc.theaimsgroup.com/?l=ntbugtraq&m=106302799428500&w=2

来源: BUGTRAQ
名称: 20030908 Temporary Fix for IE Zero Day Malware RE: BAD NEWS: Microsoft Security Bulletin MS03-032
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=106304876523459&w=2

来源: US Government Resource: oval:org.mitre.oval:def:204
名称: oval:org.mitre.oval:def:204
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:204