发布日期：2001-11-09
更新日期：2001-11-13

受影响系统：

Microsoft Internet Explorer 5.5SP2
Microsoft Internet Explorer 5.5SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0
   - Microsoft Windows 98
   - Microsoft Windows 98se
   - Microsoft Windows ME
   - Microsoft Windows 2000
   - Microsoft Windows NT 4.0

不受影响系统：

Microsoft Internet Explorer 5.0 for Macintosh
   - Apple MacOS 7.0
   - Apple MacOS 8.0
   - Apple MacOS 9.0
Microsoft Internet Explorer 5.1 for Macintosh
   - Apple MacOS X 10.1

描述：

---

BUGTRAQ  ID: 3513
CVE(CAN) ID: CVE-2001-0722
CVE     ID：CAN-2001-0722

Microsoft Internet Explorer 存在一个安全漏洞，通过精心构造一个URL请求，可能
显示或修改任意站点的Cookie内容。

这是由于IE错误处理跨域的Cookie以及“about”协议存在的跨站脚本执行漏洞造成
的。

<*来源：Jouko Pynnonen （jouko@lissu.solutions.fi）
  参考：http://archives.neohapsis.com/archives/bugtraq/2001-11/0048.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在IE中禁止“Active Scripting”
* 在Outlook中安装“Outlook Email Security Update”或配置为在“Restricted
Zone”运行

厂商补丁：

微软已经为此发布了一个安全公告（MS01-055）：
http://www.microsoft.com/technet/security/bulletin/MS01-055.asp

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注微软安全公告以获得补丁。

浏览次数：4050
严重程度：0（网友投票）