Security Lab

Межсайтовый скриптинг в в Hotmail в обработке HTML комментариев

Дата публикации:19.07.2004
Всего просмотров:1478
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Hotmail

Описание: Уязвимость обнаружена в Hotmail в обработке HTML комментариев. Удаленный пользователь может выполнить XSS нападение против целевого пользователя через Internet Explorer.

Hotmail не фильтрует код сценария внутри IF выражения, содержащегося в HTML комментариях. Microsoft Internet Explorer выполнит этот код. Пример:

<!--[if !gte mso 1337]><img src="javascript:alert('XSS haha!')"><![endif]-->

<!--[if IE gte 5]> <img src="javascript:alert()"> <![endif]-->

URL производителя:http://www.hotmail.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Hotmail Cross Site Scripting Vulnerability