Microsoft Visual Studio报告查看器控件跨站脚本漏洞

漏洞起因
输入验证错误
危险等级

 
影响系统
Microsoft Visual Studio 2005 Team Edition
Microsoft Visual Studio 2005 Standard Edition
Microsoft Visual Studio 2005 Professional Edition
Microsoft Visual Studio 2005 SP1
Microsoft Report Viewer 2005 SP1
 
不受影响系统
 
危害
远程攻击者可以利用漏洞获得敏感信息或劫持用户会话。
 
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。
 
漏洞信息
Microsoft Visual Studio是一款微软公司的开发工具套件系列产品。
传递给Microsoft Visual Studio报告查看器控件的输入在返回用户之前缺少过滤,攻击者可以利用漏洞进行跨站脚本攻击,可在目标用户浏览器上执行任意HTML和脚本代码,可获得敏感信息或劫持用户会话。
 
测试方法
 
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.microsoft.com/technet/security/Bulletin/MS11-067.mspx
 
漏洞提供者
Adam Bixby of Gotham Digital Science