安全研究

安全漏洞
Microsoft Internet Explorer多个脚本执行漏洞

发布日期:2003-09-10
更新日期:2003-09-18

受影响系统:
Microsoft Internet Explorer 6.0
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows ME
    - Microsoft Windows 98 SE
    - Microsoft Windows 98
    - Microsoft Windows 2003 Web Edition
    - Microsoft Windows 2003 Standard Edition
    - Microsoft Windows 2003 Enterprise Edition 64-bit
    - Microsoft Windows 2003 Enterprise Edition
    - Microsoft Windows 2003 Datacenter Edition 64-bit
    - Microsoft Windows 2003 Datacenter Edition
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Microsoft Windows 2000 Datacenter Server SP2
    - Microsoft Windows 2000 Datacenter Server SP1
    - Microsoft Windows 2000 Datacenter Server
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server
描述:
BUGTRAQ  ID: 8577
CVE(CAN) ID: CVE-2003-0816

Microsoft Internet Explorer是一款流行的WEB浏览程序。

Microsoft IE存在多个漏洞,远程攻击者可以利用这个漏洞构建恶意页面,诱使用户访问,使的恶意脚本在浏览器上执行。

Microsoft IE存在如下漏洞:

1、WsOpenFileJPU

演示页面如下:

http://www.safecenter.net/liudieyu/WsOpenFileJPU/WsOpenFileJPU-MyPage.HTM
or
http://umbrella.mx.tc
---> WsOpenFileJPU section
---> WsOpenFileJPU-MyPage file

[exp]

在UMBRELLA.MX.TC引用NAFfileJPU,然后使用:

window.open("file:javascript:[JpuScript]","_search")

绕过验证。

2、WsFakeSrc

演示页面如下:

http://www.safecenter.net/liudieyu/WsFakeSrc/WsFakeSrc-MyPage.HTM
or
http://umbrella.mx.tc
---> WsFakeSrc section
---> WsFakeSrc-MyPage file

[exp]
window.open("javascript:[JpuScript]","_search")
authorization checks "window.opener".

但是[VictimWindow].open是一直可访问的。
因此:

window.open("[VictimUrl]","_search");
[VictimIframe].open("javascript:[JpuScript]","_search");

可以欺骗认证和在search窗口上执行[JpuScript]恶意代码。

3、WsBASEjpu

演示页面如下:

http://www.safecenter.net/liudieyu/WsBASEjpu/WsBASEjpu-MyPage.HTM
or
http://umbrella.mx.tc
---> WsBASEjpu section
---> WsBASEjpu-MyPage file

window.open("javascript:[JpuScript]","_search")
在BASE标记中使用Href属性可使得URL检查绕过。

4、RefBack

演示页面如下:

http://www.safecenter.net/liudieyu/RefBack/RefBack-MyPage.HTM
or
http://umbrella.mx.tc
---> RefBack section
---> RefBack-MyPage file

在UMBRELLA.MX.TC中引用BackMyParent,另一种方法执行"[VictimWindow].history.back()"。

5、NAFjpuInHistory

演示页面如下:

http://www.safecenter.net/liudieyu/NAFjpuInHistory/NAFjpuInHistory-MyPage.HTM
or
http://umbrella.mx.tc
---> NAFjpuInHistory section
---> NAFjpuInHistory-MyPage file

在UMBRELLA.MX.TC中引用BackMyParent。

调用window.open("javascript:[JpuScript]"),然后使用"NavigateAndFind"浏览 [VictimUrl],最后Javascript-protocol Url在历史列表的左边。

6、NAFfileJPU

演示页面如下:

http://www.safecenter.net/liudieyu/NAFfileJPU/NAFfileJPU-MyPage.HTM
or
http://umbrella.mx.tc
---> NAFfileJPU section
---> NAFfileJPU-MyPage file

在浏览器中尝试访问如下Url:

file:javascript:alert(123)

"file"协议可以绕过基于URL的安全检查,其中有漏洞的函数是"window.external.NavigateAndFind"方法。

7、LinkillerSaveRef

演示页面如下:

http://www.safecenter.net/liudieyu/LinkillerSaveRef/LinkillerSaveRef-MyPage.HTM
or
http://umbrella.mx.tc
---> LinkillerJPU section
---> LinkillerJPU-MyPage file

在UMBRELLA.MX.TC上引用"Linkiller",另一个基于caller的验证。如果root-caller是目标受害者"method caching attack"仍旧可以成功攻击。

<*来源:Liu Die Yu (liudieyuinchina@yahoo.com.cn
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=106321882821788&w=2
        http://marc.theaimsgroup.com/?l=bugtraq&m=106321684617718&w=2
        http://marc.theaimsgroup.com/?l=bugtraq&m=106321781819727&w=2
        http://marc.theaimsgroup.com/?l=bugtraq&m=106322063729496&w=2
        http://marc.theaimsgroup.com/?l=bugtraq&m=106321638416884&w=2
        http://marc.theaimsgroup.com/?l=bugtraq&m=106321693517858&w=2
        http://marc.theaimsgroup.com/?l=bugtraq&m=106321693517858&w=2
        http://marc.theaimsgroup.com/?l=bugtraq&m=106324172422227&w=2
*>

建议:
厂商补丁:

Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.microsoft.com/windows/ie/default.asp

浏览次数:3692
严重程度:92(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障