|
||||||||
 |
||||||||
 |
|
|
|||||||||||||||||||
|
||||||||||||||||||||
| Internet Explorer是微软发布的非常流行的WEB浏览器。Internet Explorer没有正确地限制对文档帧的访问。攻击者可以用任意内容替换网页的帧的内容,Internet Explorer看起来仍在强制跨域安全模型限制恶意帧可对父文档所执行的操作。 发布日期:2008-06-27 更新日期:2008-07-03 受影响系统: Microsoft Internet Explorer 8.0b Microsoft Internet Explorer 7.0 Microsoft Internet Explorer 6.0 描述: ---------------------------------------------------------------------------- BUGTRAQ ID: 29986 Internet Explorer是微软发布的非常流行的WEB浏览器。 Internet Explorer没有正确地限制对文档帧的访问。攻击者可以用任意内容替换网页的帧的内容,Internet Explorer看起来仍在强制跨域安全模型限制恶意帧可对父文档所执行的操作。例如,其他域中的帧不可以访问父文档的cookies、HTML内容或其他帧特定的DOM组件,但组件是不受特定域约束的,如onmousedown事件。通过监控这个特殊的事件,IFRAME就可以从父文档捕获键盘输入,或执行其他恶意攻击。 <*来源:Eduardo Vela 链接:http://secunia.com/advisories/30851/ http://sirdarckcat.blogspot.com/2008/05/ghosts-for-ie8-and-ie75730.html http://sirdarckcat.blogspot.com/2008/05/browsers-ghost-busters.html http://www.gnucitizen.org/blog/ghost-busters/ http://www.kb.cert.org/vuls/id/516627 *> 建议: ---------------------------------------------------------------------------- 临时解决方法: 禁用活动脚本。 厂商补丁: Microsoft --------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.microsoft.com/windows/ie/default.asp |
|
Copyright ◎ 2004 - 2008 红客中国安全网版权所有
|