Межсайтовый скриптинг в Yahoo! Mail и Hotmail
| Дата публикации: | 25.03.2004 |
| Всего просмотров: | 1245 |
| Опасность: | Низкая |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: Hotmail и Yahoo! Mail
Описание: Несколько уязвимостей обнаружено в Yahoo! Mail и Hotmail, когда они используются с Microsoft Internet Explorer (IE). Удаленный пользователь может выполнить XSS нападение. Удаленный пользователь может создать специально обработанный HTML, который вызовет 'HTML+TIME' свойство в Internet Explorer, чтобы манипулировать атрибутами в HMTL, типа тэга 't:set', чтобвы выполнить произвольный код сценария. Пример: <?xml:namespace prefix="t" ns="urn:schemas-microsoft-com:time" /> <?import namespace="t" implementation="#default#time2"> Optional text here... <div> <t:set attributeName="innerHTML" to="<script defer>alert()</script>A" /> </div> URL производителя:http://www.hotmail.com/ и http://www.yahoo.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. |
|
| Ссылки: | Remotely Exploitable Cross-Site Scripting in Hotmail and Yahoo (GM#005-MC) |