安全研究
安全漏洞
Microsoft IE Cookie 信息泄露/修改漏洞(MS01-055)
发布日期:2001-11-09
更新日期:2001-11-13
受影响系统:Microsoft Internet Explorer 5.5SP2
Microsoft Internet Explorer 5.5SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0
- Microsoft Windows 98
- Microsoft Windows 98se
- Microsoft Windows ME
- Microsoft Windows 2000
- Microsoft Windows NT 4.0
不受影响系统:
Microsoft Internet Explorer 5.0 for Macintosh
- Apple MacOS 7.0
- Apple MacOS 8.0
- Apple MacOS 9.0
Microsoft Internet Explorer 5.1 for Macintosh
- Apple MacOS X 10.1
描述:
BUGTRAQ ID: 3513
CVE(CAN) ID:
CVE-2001-0722
CVE ID:CAN-2001-0722
Microsoft Internet Explorer 存在一个安全漏洞,通过精心构造一个URL请求,可能
显示或修改任意站点的Cookie内容。
这是由于IE错误处理跨域的Cookie以及“about”协议存在的跨站脚本执行漏洞造成
的。
<*来源:Jouko Pynnonen (
jouko@lissu.solutions.fi)
参考:
http://archives.neohapsis.com/archives/bugtraq/2001-11/0048.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 在IE中禁止“Active Scripting”
* 在Outlook中安装“Outlook Email Security Update”或配置为在“Restricted
Zone”运行
厂商补丁:
微软已经为此发布了一个安全公告(MS01-055):
http://www.microsoft.com/technet/security/bulletin/MS01-055.asp
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注微软安全公告以获得补丁。
浏览次数:4050
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |