Межсайтовый скриптинг в в Hotmail в обработке HTML комментариев

Дата публикации:
19.07.2004
Всего просмотров:
1266
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Hotmail

Описание: Уязвимость обнаружена в Hotmail в обработке HTML комментариев. Удаленный пользователь может выполнить XSS нападение против целевого пользователя через Internet Explorer.

Hotmail не фильтрует код сценария внутри IF выражения, содержащегося в HTML комментариях. Microsoft Internet Explorer выполнит этот код. Пример:

<!--[if !gte mso 1337]><img src="javascript:alert('XSS haha!')"><![endif]-->

<!--[if IE gte 5]> <img src="javascript:alert()"> <![endif]-->

URL производителя:http://www.hotmail.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Hotmail Cross Site Scripting Vulnerability

или введите имя

CAPTCHA