Security Lab

Уязвимость при обработке фреймов в Microsoft Internet Explorer

Дата публикации:26.06.2008
Дата изменения:30.03.2009
Всего просмотров:4793
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2008-2947
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
Спуфинг атака
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Internet Explorer 7.x
Уязвимые версии: Microsoft Internet Explorer 7.x

Описание:
Уязвимость позволяет удаленному пользователю произвести спуфинг атаку.

Уязвимость существует из-за того, что web сайт может изменить расположение любого фрейма в другом окне путем установки месторасположения для объекта вместо строки. Удаленный пользователь может с помощью специально сформированного Web сайта загрузить злонамеренное содержимое в фрейм доверенного сайта. Пример:

www.securitylab.ru/_download/exploits/2008/ie/1/exploit.html

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Windows XP SP2/SP3 and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=4E73DE2B-05E6-4901-9BAC-46D8F469E635

Windows XP Professional x64 Edition (optionally with SP2) and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=CCF7A3E3-EC30-4B95-9A86-00032301513C

Windows Server 2003 SP1/SP2 and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=FEAF2ADF-7892-4DBF-A147-DB4D5DBE52F3

Windows Server 2003 x64 Edition (optionally with SP2) and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=319DBA34-07CA-47F9-A1E9-20DF2DF7966B

Windows Server 2003 with SP1/SP2 for Itanium-based Systems and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=47381D91-4A14-4A09-96B3-3345155DF52D

Windows Vista (optionally with SP1) and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=4756E04B-6E1C-4D78-A3C0-17F6B4B97975

Windows Vista x64 Edition (optionally with SP1) and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=BD19C72B-4F83-47AB-93BE-D2C286E732C4

Windows Server 2008 for 32-bit Systems and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=EC73F416-2204-42D6-8932-C96578AC819F

Windows Server 2008 for x64-based Systems and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=BAACD1C2-9764-4FEA-BD4D-C49791974FEF

Windows Server 2008 for Itanium-based Systems and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=250A45DD-7EAE-4440-BD10-02A703940976

Журнал изменений:

15.10.2008
Изменена секция «Решение».

Ссылки: (MS08-058) Cumulative Security Update for Internet Explorer (956390)

http://sirdarckcat.blogspot.com/2008/05/ghosts-for-ie8-and-ie75730.html
http://sirdarckcat.blogspot.com/2008/05/browsers-ghost-busters.html
http://www.gnucitizen.org/blog/ghost-busters/