漏洞信息详情
Microsoft Internet Explorer 安全漏洞
- CNNVD编号:CNNVD-200302-022
- 危害等级: 高危
- CVE编号: CVE-2003-1328
- 漏洞类型: 其他
- 发布时间: 2003-02-19
- 威胁类型: 远程
- 更新时间: 2021-07-26
- 厂 商: microsoft
- 漏洞来源: Andreas Sandblad※ ...
漏洞简介
Microsoft Internet Explorer(IE)是美国微软(Microsoft)公司的一款Windows操作系统附带的Web浏览器。
Microsoft Internet Explorer存在安全漏洞。MSIE的showHelp()实现存在问题,远程攻击者可以利用这个漏洞构造恶意页面,诱使用户点击,以用户权限查看系统文件或者执行任意命令。showHelp()是一种帮助模式用来显示包含帮助内容的HTML页面,showHelp()允许多中类型的\'\'可插拔\'\'协议。不过对于URL参数有多个安全限制:1、只有以\"file:\"或\"http:\"开始的URL被允许。2、如果URL指向本地资源,它必须编译成以.chm为扩展名的帮助文件。3、使用HTTP协议下载的编译好的帮助文件不可信。问题是如果你以\"file:\"参数调用showHelp,其安全限制会被关闭,因此利用Javascript协议可以导致在不同域中读取敏感信息,执行任意命令等操作。攻击者构建恶意WEB页,诱使用户点击,就可以在目标用户本地系统上打开showHelp窗口到一个已知的本地文件,再使用特殊URL把文件信息发到第二个showHelp窗口而获得文件信息。攻击者也可以构造恶意页面在目标用户系统上执行任意命令。
漏洞公告
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS03-004)以及相应补丁:
MS03-004:Cumulative Patch for Internet Explorer (810847)
链接:
http://www.microsoft.com/technet/security/bulletin/MS03-004.asp" target="_blank">
http://www.microsoft.com/technet/security/bulletin/MS03-004.asp
补丁下载:
http://www.microsoft.com/windows/ie/downloads/critical/810847/default.asp" target="_blank">
http://www.microsoft.com/windows/ie/downloads/critical/810847/default.asp
参考网址
来源:MS
链接:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2003/ms03-004
来源:BUGTRAQ
链接:http://archives.neohapsis.com/archives/bugtraq/2003-02/0083.HTML
来源:BID
链接:https://www.securityfocus.com/bid/6780
来源:CERT-VN
链接:http://www.kb.cert.org/vuls/id/400577
来源:CIAC
链接:http://www.ciac.org/ciac/bulletins/n-038.sHTML
来源:OVAL
链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A57
来源:XF
链接:http://www.iss.net/security_center/static/11259.php
受影响实体
- Microsoft Ie:5.0.1:Sp1
- Microsoft Ie:6.0:Sp1
- Microsoft Ie:6.0
- Microsoft Ie:5.5:Sp2
- Microsoft Ie:5.5:Sp1
补丁
- Microsoft Internet Explorer 安全漏洞的修复措施
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论