Подмена адресной строки в Microsoft Internet Explorer

Дата публикации:
16.07.2007
Дата изменения:
10.10.2007
Всего просмотров:
4950
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Microsoft Internet Explorer 7.x
Уязвимые версии: Microsoft Internet Explorer 7, возможно более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю произвести спуфинг атаку.

Уязвимость существует из-за ошибки при обработке метода "document.open()". Удаленный пользователь может с помощью специально сформированной Web страницы подменить содержимое сайта, если пользователь наберет URL вручную в адресной строке. Демонстрация эксплоита:

lcamtuf.coredump.cx/ietrap3/

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя. Windows XP SP2 and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=4CA0AC93-BF51-40FE-A1BA-CB3E0A36D8B5

Windows XP Professional x64 Edition (optionally with SP2) and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=DBD284D0-2664-42A4-AD16-A0535244C81C

Windows Server 2003 SP1/SP2 and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=0A31C451-32F4-4551-AE45-D600F8B3B11B

Windows Server 2003 x64 Edition (optionally with SP2) and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=C1915633-D181-4CA1-A4F0-7CA0F865AA72

Windows Server 2003 with SP1/SP2 for Itanium-based systems and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=093A2250-3BE3-494F-80E0-89CA7217030F

Windows Vista and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=86392E8D-098C-427F-A233-699CDB9375AE

Windows Vista x64 Edition and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=62490E6D-0A21-4A15-90BD-63CA8F8886B6

Журнал изменений:

09.10.2007
Изменены данные в секции Решение


Ссылки: MSIE7 entrapment again (+ FF tidbit)
(MS07-057) Cumulative Security Update for Internet Explorer (939653)

или введите имя

CAPTCHA
1
16-07-2007 19:37:23
если пользователь наберет URL вручную в адресной строке. А если бы у бабушки был бы х..., то она стала бы дедушкой. Наши руки не для скуки- песня исполняется вручную!
0 |
1
16-07-2007 20:39:10
А ничего, что в restricted zone эти эксплойты ни разу не работают?
0 |