Microsoft Internet Explorer Dialog Style同源策略绕过漏洞

Microsoft Internet Explorer Dialog Style同源策略绕过漏洞

漏洞ID 1203549 漏洞类型 其他
发布时间 2002-12-03 更新时间 2005-10-20
图片[1]-Microsoft Internet Explorer Dialog Style同源策略绕过漏洞-安全小百科CVE编号 CVE-2003-0116
图片[2]-Microsoft Internet Explorer Dialog Style同源策略绕过漏洞-安全小百科CNNVD-ID CNNVD-200305-018
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200305-018
|漏洞详情
MicrosoftInternetExplorer是一款流行的WEB服务程序。MSIE对对话窗口格式(dialogstyle)参数缺少正确检查,远程攻击者可以利用这个漏洞构建恶意WEB页面,诱使用户点击,绕过安全区域检查,导致敏感信息泄露,或者脚本以在安全区域中执行。MSIE包含通过脚本调用showModalDialog和showModelessDialog函数支持对话窗口,这些函数接收URL定位作为对话内容,和一选项参数允许数据从调用页面传递给对话窗口。另外,各种格式可以从调用页面中应用到对话框中。MSIE存在安全检查以确保从调用页面传递给对话框的数据是来自同一域,这就可以防止第三方插入任意内容到任意对话框。但是,如果脚本代码插入对话框格式参数中,MSIE就没有对此进行正确检查。因此攻击者可以利用这个漏洞构建恶意WEB页面,诱使用户点击,导致恶意内容插入到敏感对话框中,可以使恶意脚本在敏感安全区域如本地电脑安全区域中执行。
|参考资料

来源:US-CERTVulnerabilityNote:VU#244729
名称:VU#244729
链接:http://www.kb.cert.org/vuls/id/244729
来源:BID
名称:6306
链接:http://www.securityfocus.com/bid/6306
来源:MS
名称:MS03-015
链接:http://www.microsoft.com/technet/security/bulletin/ms03-015.asp
来源:BUGTRAQ
名称:20021203PoisonousStyleforDialogwindowturnsthezoneoff.
链接:http://www.securityfocus.com/archive/1/301945

相关推荐: id软件的Quake3Arena目录遍历漏洞

id软件的Quake3Arena目录遍历漏洞 漏洞ID 1206521 漏洞类型 输入验证 发布时间 2000-05-03 更新时间 2005-05-02 CVE编号 CVE-2000-0303 CNNVD-ID CNNVD-200005-018 漏洞平台 N…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享