安全研究
安全漏洞
Microsoft Internet Explorer OBJECT标记临时Internet文件夹名字泄露漏洞(MS02-066)
发布日期:2002-11-21
更新日期:2002-11-26
受影响系统:Microsoft Internet Explorer 5.5SP2
Microsoft Internet Explorer 5.5SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.0.1SP2
Microsoft Internet Explorer 5.0.1SP1
Microsoft Internet Explorer 6.0
- Microsoft Windows XP
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows ME
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Datacenter Server SP2
- Microsoft Windows 2000 Datacenter Server SP1
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server
描述:
BUGTRAQ ID:
6217
CVE(CAN) ID:
CVE-2002-1188
Microsoft Internet Explorer是一款微软开发的流行的WEB浏览器。
Internet Explorer浏览器不正确检查OBJECT标记调用,远程攻击者可以利用这个漏洞构建恶意WEB页面,诱使用户打开,获得用户本地系统中的临时Internet文件名。
由于不正确处理OBJEC标记,可导致远程攻击者获得目标用户系统中的临时Internet文件夹名字。这个漏洞不允许攻击者读或修改用户系统中的任意文件,原因是临时Internet文件夹处理Internet security域中。不过知道临时Internet文件夹名称可以帮助攻击者登录用户名和读取临时Internet文件夹中的其他信息如COOKIE。
攻击者可以通过构建恶意WEB页面或者使用HTML形式的电子邮件来触发这个漏洞。
<*来源:Microsoft Security Bulletin
链接:
http://www.microsoft.com/technet/security/bulletin/MS02-066.asp
*>
建议:
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS02-066)以及相应补丁:
MS02-066:Cumulative Patch for Internet Explorer (Q328970)
链接:
http://www.microsoft.com/technet/security/bulletin/MS02-066.asp
补丁下载:
http://www.microsoft.com/windows/ie/downloads/critical/q328970/default.asp浏览次数:2885
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |