发布日期：2003-02-03
更新日期：2003-02-08

受影响系统：

Microsoft Internet Explorer 6.0SP1
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.5SP2
Microsoft Internet Explorer 5.5SP1
Microsoft Internet Explorer 5.5

描述：

---

BUGTRAQ  ID: 6749

Internet Explorer是一款微软公司开发和维护的流行的WEB浏览器。

MSIE在处理dragDrop() ActiveX方法时存在漏洞，远程攻击者可以利用这个漏洞构建恶意WEB页面，诱使用户点击，以执行用户上下文查看系统任意已知文件名文件的内容。

攻击者可以构建恶意页面，当用户浏览此页面时，使用dragDrop()方法把选择的文本放到HTML页面中，导致在知道目标文件名的情况下，以当前用户权限查看这些文件的内容。

<*来源：jelmer （jelmer@kuperus.xs4all.nl）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104429340817718&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

jelmer <jelmer@kuperus.xs4all.nl>提供的演示页面如下：

http://kuperus.xs4all.nl/security/ie/xfiles.htm

建议：

---

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp

浏览次数：2991
严重程度：0（网友投票）