发布日期：2003-02-07
更新日期：2003-02-13

受影响系统：

Microsoft Internet Explorer 6.0SP1
Microsoft Internet Explorer 5.5SP2
Microsoft Internet Explorer 5.5SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.0.1SP2
Microsoft Internet Explorer 5.0.1SP1
Microsoft Internet Explorer 6.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows ME
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Microsoft Windows 2000 Datacenter Server SP2
    - Microsoft Windows 2000 Datacenter Server SP1
    - Microsoft Windows 2000 Datacenter Server
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server

描述：

---

BUGTRAQ  ID: 6779
CVE(CAN) ID: CVE-2003-1326

Microsoft Internet Explorer是一款流行的WEB浏览器。

Internet Explorer的交叉域安全模型实现存在漏洞，远程攻击者可以利用这个漏洞构建恶意页面，诱使用户点击，查看在不同域中的信息。

Internet Explorer中的交叉域安全模型用来维护不同域窗口中共享信息。其中由于安全检查不完全，当使用部分对话框时导致IE允许某一WEB站点访问其他域中的信息。

要利用这个漏洞，攻击者必须拥有恶意WEB站点，构建利用此漏洞的WEB页面，诱使用户访问。一旦目标用户访问后，就可以通过错误使用对话框运行恶意脚本代码，使脚本访问其他不同域中的信息。最坏情况下，可以导致恶意WEB站点管理员在用户系统上装载任意代码。

<*来源：Microsoft Security Bulletin
  
  链接：http://www.microsoft.com/technet/security/bulletin/MS03-004.asp
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS03-004）以及相应补丁:
MS03-004：Cumulative Patch for Internet Explorer (810847)
链接：http://www.microsoft.com/technet/security/bulletin/MS03-004.asp

补丁下载：

http://www.microsoft.com/windows/ie/downloads/critical/810847/default.asp

浏览次数：3187
严重程度：0（网友投票）