Межсайтовый скриптинг в Yahoo! Mail и Hotmail

Дата публикации:
25.03.2004
Всего просмотров:
990
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Hotmail и Yahoo! Mail

Описание: Несколько уязвимостей обнаружено в Yahoo! Mail и Hotmail, когда они используются с Microsoft Internet Explorer (IE). Удаленный пользователь может выполнить XSS нападение.

Удаленный пользователь может создать специально обработанный HTML, который вызовет 'HTML+TIME' свойство в Internet Explorer, чтобы манипулировать атрибутами в HMTL, типа тэга 't:set', чтобвы выполнить произвольный код сценария. Пример:

<?xml:namespace prefix="t" ns="urn:schemas-microsoft-com:time" />
<?import namespace="t" implementation="#default#time2">
Optional text here...
<div>
<t:set attributeName="innerHTML" to="<script
defer>alert()</script>A" />
</div>

URL производителя:http://www.hotmail.com/ и http://www.yahoo.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Remotely Exploitable Cross-Site Scripting in Hotmail and Yahoo (GM#005-MC)

или введите имя

CAPTCHA