Microsoft Internet Explorer跨域本地Cookie文件访问安全绕过漏洞

漏洞起因
源验证错误
危险等级

 
影响系统
Microsoft Internet Explorer 7.0.5730 .11
Microsoft Internet Explorer 9
Microsoft Internet Explorer 8.0.7600.16385
Microsoft Internet Explorer 8 RC1
Microsoft Internet Explorer 8
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0 SP3
Microsoft Internet Explorer 6.0 SP2
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
 
不受影响系统
 
危害
远程攻击者可以利用漏洞获得敏感信息或者操作目标用户文件夹和文件。
 
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。
 
漏洞信息
Microsoft Internet Explorer是一款流行的WEB浏览器。
Microsoft Internet Explorer存在安全漏洞,允许攻击者获得敏感信息或在本地资源上执行某些操作。
1)应用程序允许网络共享显示在iFrame中,设置iFrame引用"\\127.0.0.1\c$\"可诱使用户对本地文件夹和文件上执行某些操作(CVE-2011-2383)。
成功利用漏洞允许删除本地文件夹,把图片存储在本地文件件中或重命名本地文件和文件夹,但需要用户执行某些键盘或鼠标操作。
2)处理iFrame中的cookie文件时存在错误,构建恶意WEB页,诱使用户访问可获得目标用户的敏感cookie信息(CVE-2011-2382)
 
测试方法
 
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.microsoft.com/technet/security/Bulletin/MS11-057.mspx
 
漏洞提供者
Rosario Valotta

发表评论?

0 条评论。

发表评论