Microsoft Internet Explorer EUC-JP编码处理漏洞

漏洞起因
跨站脚本错误
危险等级

影响系统
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x
Microsoft Internet Explorer 8.x
Microsoft Internet Explorer 9.x

不受影响系统

危害
远程攻击者可以利用漏洞进行跨站脚本攻击,可获得敏感信息或劫持用户会话。

攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。

漏洞信息
Microsoft Internet Explorer是一款流行的WEB浏览器。
Microsoft Internet Explorer 6到9处理EUC-JP编码存在漏洞,允许攻击者进行跨站脚本攻击。
攻击者可以构建使用EUC-JP编码的特制字符序列的WEB页,诱使用户解析,可导致恶意代码在目标用户浏览器上执行,可获得敏感信息或劫持用户会话。

测试方法
临时解决方案:
-配置Internet Explorer的Internet和本地Intranet安全域设置为”高”,以拦截ActiveX控件和活动脚本。
-配置Internet Explorer在运行活动脚本前进行提示或在Internet和本地Intranet安全域中禁用活动脚本。

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://technet.microsoft.com/en-us/security/bulletin/ms12-037

漏洞提供者
Masato Kinugawa

评论关闭。