安全研究
安全漏洞
Microsoft Internet Explorer多个脚本执行漏洞
发布日期:2003-09-10
更新日期:2003-09-18
受影响系统:
Microsoft Internet Explorer 6.0描述:
- Microsoft Windows XP Professional
- Microsoft Windows XP Home
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows ME
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 2003 Web Edition
- Microsoft Windows 2003 Standard Edition
- Microsoft Windows 2003 Enterprise Edition 64-bit
- Microsoft Windows 2003 Enterprise Edition
- Microsoft Windows 2003 Datacenter Edition 64-bit
- Microsoft Windows 2003 Datacenter Edition
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Datacenter Server SP2
- Microsoft Windows 2000 Datacenter Server SP1
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server
BUGTRAQ ID: 8577
CVE(CAN) ID: CVE-2003-0816
Microsoft Internet Explorer是一款流行的WEB浏览程序。
Microsoft IE存在多个漏洞,远程攻击者可以利用这个漏洞构建恶意页面,诱使用户访问,使的恶意脚本在浏览器上执行。
Microsoft IE存在如下漏洞:
1、WsOpenFileJPU
演示页面如下:
http://www.safecenter.net/liudieyu/WsOpenFileJPU/WsOpenFileJPU-MyPage.HTM
or
http://umbrella.mx.tc
---> WsOpenFileJPU section
---> WsOpenFileJPU-MyPage file
[exp]
在UMBRELLA.MX.TC引用NAFfileJPU,然后使用:
window.open("file:javascript:[JpuScript]","_search")
绕过验证。
2、WsFakeSrc
演示页面如下:
http://www.safecenter.net/liudieyu/WsFakeSrc/WsFakeSrc-MyPage.HTM
or
http://umbrella.mx.tc
---> WsFakeSrc section
---> WsFakeSrc-MyPage file
[exp]
window.open("javascript:[JpuScript]","_search")
authorization checks "window.opener".
但是[VictimWindow].open是一直可访问的。
因此:
window.open("[VictimUrl]","_search");
[VictimIframe].open("javascript:[JpuScript]","_search");
可以欺骗认证和在search窗口上执行[JpuScript]恶意代码。
3、WsBASEjpu
演示页面如下:
http://www.safecenter.net/liudieyu/WsBASEjpu/WsBASEjpu-MyPage.HTM
or
http://umbrella.mx.tc
---> WsBASEjpu section
---> WsBASEjpu-MyPage file
window.open("javascript:[JpuScript]","_search")
在BASE标记中使用Href属性可使得URL检查绕过。
4、RefBack
演示页面如下:
http://www.safecenter.net/liudieyu/RefBack/RefBack-MyPage.HTM
or
http://umbrella.mx.tc
---> RefBack section
---> RefBack-MyPage file
在UMBRELLA.MX.TC中引用BackMyParent,另一种方法执行"[VictimWindow].history.back()"。
5、NAFjpuInHistory
演示页面如下:
http://www.safecenter.net/liudieyu/NAFjpuInHistory/NAFjpuInHistory-MyPage.HTM
or
http://umbrella.mx.tc
---> NAFjpuInHistory section
---> NAFjpuInHistory-MyPage file
在UMBRELLA.MX.TC中引用BackMyParent。
调用window.open("javascript:[JpuScript]"),然后使用"NavigateAndFind"浏览 [VictimUrl],最后Javascript-protocol Url在历史列表的左边。
6、NAFfileJPU
演示页面如下:
http://www.safecenter.net/liudieyu/NAFfileJPU/NAFfileJPU-MyPage.HTM
or
http://umbrella.mx.tc
---> NAFfileJPU section
---> NAFfileJPU-MyPage file
在浏览器中尝试访问如下Url:
file:javascript:alert(123)
"file"协议可以绕过基于URL的安全检查,其中有漏洞的函数是"window.external.NavigateAndFind"方法。
7、LinkillerSaveRef
演示页面如下:
http://www.safecenter.net/liudieyu/LinkillerSaveRef/LinkillerSaveRef-MyPage.HTM
or
http://umbrella.mx.tc
---> LinkillerJPU section
---> LinkillerJPU-MyPage file
在UMBRELLA.MX.TC上引用"Linkiller",另一个基于caller的验证。如果root-caller是目标受害者"method caching attack"仍旧可以成功攻击。
<*来源:Liu Die Yu (liudieyuinchina@yahoo.com.cn)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=106321882821788&w=2
http://marc.theaimsgroup.com/?l=bugtraq&m=106321684617718&w=2
http://marc.theaimsgroup.com/?l=bugtraq&m=106321781819727&w=2
http://marc.theaimsgroup.com/?l=bugtraq&m=106322063729496&w=2
http://marc.theaimsgroup.com/?l=bugtraq&m=106321638416884&w=2
http://marc.theaimsgroup.com/?l=bugtraq&m=106321693517858&w=2
http://marc.theaimsgroup.com/?l=bugtraq&m=106321693517858&w=2
http://marc.theaimsgroup.com/?l=bugtraq&m=106324172422227&w=2
*>
建议:
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/windows/ie/default.asp
浏览次数:3692
严重程度:92(网友投票)
绿盟科技给您安全的保障