|
|
IE NavigateComplete2 Cross Frame Access漏洞
发布时间:2000-04-19
更新时间:2000-04-19
严重程度:中
威胁程度:远程非授权文件存取
错误类型:设计错误
利用方式:客户机模式
受影响系统Microsoft Internet Explorer 5.5 preview
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows NT 4.0
Microsoft Internet Explorer 5.01
+ Microsoft Windows 98
+ Microsoft Windows 95
+ Microsoft Windows NT 4.0
+ Microsoft Windows NT 2000
Microsoft Internet Explorer 5.0 for Windows NT 4.0
+ Microsoft Windows NT 4.0
Microsoft Internet Explorer 5.0 for Windows 98
+ Microsoft Windows 98
Microsoft Internet Explorer 5.0 for Windows 95
+ Microsoft Windows 95
Microsoft Internet Explorer 5.0 for Windows 2000
- Microsoft Windows NT 2000
Microsoft Internet Explorer 4.0 for Windows NT 4.0
+ Microsoft Windows NT 4.0
Microsoft Internet Explorer 4.0 for Windows NT 3.51
- Microsoft Windows NT 3.5.1
Microsoft Internet Explorer 4.0 for Windows 98
+ Microsoft Windows 98
Microsoft Internet Explorer 4.0 for Windows 95
+ Microsoft Windows 95
Microsoft Internet Explorer 4.0 for WfW
+ Microsoft Windows 3.11WfW 详细描述
IE中的NavigateComplete2不正确的效验原始域。因此一个远程的WEB服务器可以获得本地机器上的文件读访问权利,通过访问浏览器包含本地内容的模块可以实现,但攻击者必须首先知道文件的名字和路径。
测试代码
见此URL:http://www.nat.bg/~joro/frame2.html
解决方案
关闭 Javascript
相关信息
|
