安全研究
安全漏洞
Symantec Norton Internet Security错误消息跨站脚本执行漏洞
发布日期:2003-10-27
更新日期:2003-10-31
受影响系统:Symantec Internet Security 2003 6.0.4.34
描述:
BUGTRAQ ID:
8904
CVE(CAN) ID:
CVE-2003-1149
Norton Internet Security是一款Symantec公司开发和维护的网络防护系统,其核心是独立的Norton Personal Firewall 2003。
Norton Internet Security没有过滤返回给用户的错误消息,远程攻击者可以利用这个漏洞进行跨站脚本攻击,可能获得用户敏感消息。
当Norton Internet Security 2003拦截某个WEB站点时,会返回WEB页面到浏览器,声明此站点已经被拦截,这个错误消息包含所请求的URL信息。Norton Internet Security 2003在返回错误消息前没有充分过滤URL编码信息,这允许攻击者提供包含恶意脚本的URL,就可以导致脚本以被阻拦站点上下文运行。可能获得用户敏感信息。
<*来源:KrazySnake (
krazysnake@digitalpranksters.com)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=106728532914949&w=2
*>
建议:
厂商补丁:
Symantec
--------
用户可以通过LiveUpdate进行升级更新。
http://www.symantec.com/浏览次数:2895
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |