NSFOCUS绿盟科技

首页 -> 安全研究

安全研究

安全漏洞

Microsoft IE违背同源策略漏洞

发布日期：2001-12-20
更新日期：2001-12-24

受影响系统：

Microsoft Internet Explorer 5.5
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 5.5SP1
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 5.5SP2
    - Microsoft Windows Terminal Services
    - Microsoft Windows Terminal Server 4.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows ME
    - Microsoft Windows Enterprise Server 4.0
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 6.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows ME
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

描述：

BUGTRAQ  ID: 3721
CVE(CAN) ID: CVE-2002-0027

Microsoft Internet Explorer是与Windows操作系统捆绑在一起的流行的Web浏览器。

Microsoft IE存在设计问题，可能会违背同源策略，导致用户敏感信息泄露。

在现代浏览器中，一个Web站点上下文执行的脚本不应该可以能够访问到其他站点的相关实体。这个安全功能称为“同源策略”，这可以使恶意网页不能窃取其它不同窗口中的敏感信息。当有漏洞的IE浏览器用document.Open()在父窗口中打开一个子窗口时，在父窗口上下文运行的脚本可能访问到子窗口中的实体。攻击者可能借这个漏洞得到用户的敏感信息、在别的网站上执行操作、传输用户文件到攻击者控制的网站等危坏行为。

<*来源：the Pull （osioniusx@yahoo.com）

  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0209.html
*>

建议：

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在IE中设置禁止活动脚本及ActiveX控件执行。

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp

浏览次数：3008
严重程度：0（网友投票）

关于我们: 公司介绍; 公司荣誉; 公司新闻

联系我们: 公司总部; 分支机构; 海外机构

快速链接: 绿盟云; 绿盟威胁情报中心NTI; 技术博客