首页 -> 安全研究
安全研究
安全漏洞
Microsoft IE VBScript读取任意文件漏洞(MS02-009)
发布日期:2002-02-21
更新日期:2002-02-25
受影响系统:
Microsoft Internet Explorer 5.0.1SP1描述:
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 5.0.1SP2
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 5.01
- Microsoft Windows Terminal Services
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 5.5
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 5.5SP1
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 5.5SP2
- Microsoft Windows Terminal Services
- Microsoft Windows Terminal Server 4.0
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows ME
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
Microsoft Internet Explorer 6.0
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
BUGTRAQ ID: 4158
CVE(CAN) ID: CVE-2002-0052
在现代浏览器中,一个Web站点上下文执行的脚本不应该可以能够访问到其他站点的相关实体。这个安全功能称为“同源策略”,这可以使恶意网页不能窃取其它不同窗口中的敏感信息。
Microsoft IE的VBScript实现上存在一个漏洞,违背了同源策略,可能导致用户敏感信息泄露。
恶意的VBScript可能利用IE访问到其它站点或域的帧(frame)中的内容,这可能是因为是计算域边界的时候出现了问题,IE试图跨不同的帧对一般域中的内容进行分组。攻击者可能借这个漏洞得到用户与其他站点会话的信息(包括用户名、口令等信息)或者传输用户文件到攻击者控制的网站。
<*来源:Zentai Peter Aron
链接:http://www.microsoft.com/technet/security/bulletin/MS02-009.asp
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 不要使用未修补过的IE浏览不可信的站点。
* 在IE中设置禁止活动脚本的执行:
在 工具->Internet选项->安全->脚本->活动脚本 选择禁用。
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS02-009)以及相应补丁:
MS02-009:Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files
链接:http://www.microsoft.com/technet/security/bulletin/MS02-009.asp
补丁下载:
http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp
浏览次数:3317
严重程度:0(网友投票)
绿盟科技给您安全的保障