Microsoft IE任意程序可执行漏洞发布时间:2002-01-17 更新时间:2002-01-17 严重程度:高 威胁程度:普通用户访问权限 错误类型:设计错误 利用方式:服务器模式 受影响系统 Microsoft Internet Explorer 6.0详细描述 2000年6月24日的http-equiv <http-equiv@excite.com> 发现MSIE可以允许恶意 网管在客户端执行任意程序,问题存在于关于在HTML嵌入带非零 CLASSID值的 对象并且CODEBASE参数设置客户端可执行程序的路径,可导致程序可执行。 不过以后的MSIE版本还是存在这个漏洞,如果CODEBASE值设置为客户端可执行 程序嵌入到使用window.PoPup() 或者 window.Open()建立的新对象,指定的 程序就会被在执行。 测试代码 一个演示程序如下所示: http://www.osioniusx.com/. 解决方案 尚无 相关信息 Pull <osioniusx@yahoo.com>. 参考:http://www.securityfocus.com/archive/1/250136 http://www.securityfocus.com/archive/1/66678 |
