|
|
Microsoft IE / Outlook com.ms.activeX.ActiveXComponent可以执行任意程序
发布时间:2000-10-10
更新时间:2000-10-10
严重程度:高
威胁程度:普通用户访问权限
错误类型:设计错误
利用方式:服务器模式
受影响系统Microsoft Internet Explorer 5.5
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows NT 4.0
- Microsoft Windows NT 2000
Microsoft Internet Explorer 5.01
+ Microsoft Windows 98
+ Microsoft Windows 95
+ Microsoft Windows NT 4.0
+ Microsoft Windows NT 2000
Microsoft Internet Explorer 5.0 for Windows NT 4.0
+ Microsoft Windows NT 4.0
Microsoft Internet Explorer 5.0 for Windows 98
+ Microsoft Windows 98
Microsoft Internet Explorer 5.0 for Windows 95
+ Microsoft Windows 95
Microsoft Internet Explorer 5.0 for Windows 2000
- Microsoft Windows NT 2000
Microsoft Internet Explorer 4.0 for Windows NT 4.0
+ Microsoft Windows NT 4.0
Microsoft Internet Explorer 4.0 for Windows NT 3.51
- Microsoft Windows NT 3.5.1
Microsoft Internet Explorer 4.0 for Windows 98
+ Microsoft Windows 98
Microsoft Internet Explorer 4.0 for Windows 95
+ Microsoft Windows 95
Microsoft Internet Explorer 4.0 for Windows 3.1
Microsoft Outlook 97.0
Microsoft Outlook 98
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows NT 4.0
Microsoft Outlook 2000 详细描述
一个恶意网管可以嵌入一精心编制的JAVA对象到HTML文档,导致通过IE和OUTLOOK
执行来浏览的访问者。com.ms.activeX.ActiveXComponent JAVA对象插入到<APPLET>标签中就可以允许建立任意ACTIVEX对象。
测试代码
Georgi Guninski <guninski@guninski.com>设立了几个演示页面:
DEMO #1com.ms.activeX.ActiveXComponent 允许执行任意程序:
http://www.guninski.com/javaea1.html
这里将在你启动文件夹里建立EA.HTA文件。
http://www.guninski.com/javaea2.html
将在你桌面建立EA文件。
解决方案
尚无
相关信息
|
