Security Lab

Доступ к локальным файлам в Mozilla и Netscape 6

Дата публикации:03.05.2002
Всего просмотров:1002
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в обработке HTTP переадресации в объекте XMLHttpRequest, используемого в Mozilla и Netscape 6.

Объект XMLHttpRequest позволяет машине клиента получать XML документ через HTTP запрос. Если ответ сервера на этот запрос переадресовывается к местному файлу, то обходятся защитные меры сценария. Уязвимость позволяет раскрывать содержание произвольных местных файлов злонамеренному серверу. Это проблема также затрагивает метод загрузки, применяемый к XML документам, созданных методом createDocument в интерфейсе DOMImplementation.

Уязвимость обнаружена в Mozilla Browser 0.9.7-1.0, Netscape 6.1-6.2.2

Пример: var oXML=new XMLHttpRequest();
oXML.open("GET","getFile.asp",false);
oXML.send(null);
alert(oXML.responseText);
Где getFile.asp перенаправляет на с:\test.txt

Ссылки: Reading local files in Netscape 6 and Mozilla (GM#001-NS)