发布日期：2003-10-27
更新日期：2003-10-31

受影响系统：

Symantec Internet Security 2003 6.0.4.34

描述：

---

BUGTRAQ  ID: 8904
CVE(CAN) ID: CVE-2003-1149

Norton Internet Security是一款Symantec公司开发和维护的网络防护系统，其核心是独立的Norton Personal Firewall 2003。

Norton Internet Security没有过滤返回给用户的错误消息，远程攻击者可以利用这个漏洞进行跨站脚本攻击，可能获得用户敏感消息。

当Norton Internet Security 2003拦截某个WEB站点时，会返回WEB页面到浏览器，声明此站点已经被拦截，这个错误消息包含所请求的URL信息。Norton Internet Security 2003在返回错误消息前没有充分过滤URL编码信息，这允许攻击者提供包含恶意脚本的URL，就可以导致脚本以被阻拦站点上下文运行。可能获得用户敏感信息。

<*来源：KrazySnake （krazysnake@digitalpranksters.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=106728532914949&w=2
*>

建议：

---

厂商补丁：

Symantec
--------
用户可以通过LiveUpdate进行升级更新。

http://www.symantec.com/

浏览次数：2895
严重程度：0（网友投票）