Microsoft Internet Explorer “Scrolling”事件信息泄露漏洞

漏洞起因
设计错误
危险等级

影响系统
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x
Microsoft Internet Explorer 8.x
Microsoft Internet Explorer 9.x

不受影响系统

危害
远程攻击者可以利用漏洞获取敏感信息。

攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。

漏洞信息
Microsoft Internet Explorer是一款流行的WEB浏览器。
Microsoft Internet Explorer 6到9处理scrolling事件存在一个未明错误,允许攻击者获得敏感信息。
由于IE未正确拦截跨域scrolling事件,允许攻击者构建恶意WEB页,诱使用户解析,读取不用域或Internet Explorer域上的敏感信息。

测试方法
临时解决方案:
-配置Internet Explorer的Internet和本地Intranet安全域设置为”高”,以拦截ActiveX控件和活动脚本。
-配置Internet Explorer在运行活动脚本前进行提示或在Internet和本地Intranet安全域中禁用活动脚本。

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://technet.microsoft.com/en-us/security/bulletin/ms12-037

漏洞提供者
Microsoft

评论关闭。