【綠盟科技授權,賽迪發佈,謝絕任何網站轉載,違者,賽迪網將保留追究其法律責任的權利!】
【賽迪網-IT技術報道】Internet Explorer是微軟髮布的非常流行的WEB瀏覽器。Internet Explorer沒有正確地限制對文檔幀的訪問。攻擊者可以用任意內容替換網頁的幀的內容,Internet Explorer看起來仍在強制跨域安全模型限制惡意幀可對父文檔所執行的操作。
發佈日期:2008-06-27
更新日期:2008-07-03
受影響系統:
Microsoft Internet Explorer 8.0b
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0
描述:
----------------------------------------------------------------------------
BUGTRAQ ID: 29986
Internet Explorer是微軟髮布的非常流行的WEB瀏覽器。
Internet Explorer沒有正確地限制對文檔幀的訪問。攻擊者可以用任意內容替換網頁的幀的內容,Internet Explorer看起來仍在強制跨域安全模型限制惡意幀可對父文檔所執行的操作。例如,其他域中的幀不可以訪問父文檔的cookies、HTML內容或其他幀特定的DOM組件,但組件是不受特定域約束的,如onmousedown事件。通過監控這個特殊的事件,IFRAME就可以從父文檔捕獲鍵盤輸入,或執行其他惡意攻擊。
<*來源:Eduardo Vela
鏈結:http://secunia.com/advisories/30851/
http://sirdarckcat.blogspot.com/2008/05/ghosts-for-ie8-and-ie75730.html
http://sirdarckcat.blogspot.com/2008/05/browsers-ghost-busters.html
http://www.gnucitizen.org/blog/ghost-busters/
http://www.kb.cert.org/vuls/id/516627
*>
建議:
----------------------------------------------------------------------------
臨時解決方法:
禁用活動腳本。
廠商補丁:
Microsoft
---------
目前廠商還沒有提供補丁或者升級程式,我們建議使用此軟體的用戶隨時關注廠商的主頁以獲取最新版本:
http://www.microsoft.com/windows/ie/default.asp
(責任編輯:董建偉)
