Security Lab

Обход ограничений безопасности в Microsoft Internet Explorer

Дата публикации:27.06.2008
Дата изменения:30.03.2009
Всего просмотров:3175
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Раскрытие важных данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 5.01
Уязвимые версии:
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 6.x

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности и произвести XSS нападение и получить доступ к важным данным.

Уязвимость существует из-за ошибки проверки входных данных при обработке свойств "location" и "location.href". Удаленный пользователь может с помощью специально сформированной Web страницы открыть доверенный сайт и выполнить произвольный код сценария в браузере жертвы в контексте безопасности доверенного сайта или получить доступ к важным данным.

Примечание: эта уязвимость является вариантом уязвимости, описанной в уведомлении:
http://www.securitylab.ru/vulnerability/355294.php

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Windows XP SP2/SP3:
http://www.microsoft.com/downloads/de...=A7F0F47B-B1EE-4516-9FBF-BF8E579963D0

Windows XP Professional x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/de...=234C05FB-988B-4E02-AAB6-BB23E447DF3D

Windows Server 2003 SP1/SP2:
http://www.microsoft.com/downloads/de...=AE8D22D5-20AA-471D-A423-F54C9D75FEBE

Windows Server 2003 x64 Edition (optionally with SP2):
http://www.microsoft.com/downloads/de...=07FC88C4-2571-4A4D-B573-AE576798AB4C

Windows Server 2003 with SP1/SP2 for Itanium-based Systems:
http://www.microsoft.com/downloads/de...=B68937AF-F04A-4D1E-9D7F-EC92AF5194DE

Журнал изменений:

14.10.2008
Изменена секция «Решение».
Изменено описание уязвимости.
Изменена секция «Программа», добавлены Internet Explorer 5.01 и 7.x.
14.10.2008
Изменена секция «Программа», удалена версия 7.x, добавлено примечание.

Ссылки: (MS08-058) Cumulative Security Update for Internet Explorer (956390)

http://www.ph4nt0m.org-a.googlepages.com/PSTZine_0x02_0x04.txt