漏洞信息详情
Microsoft IE缓存内容跨域信息泄露漏洞
- CNNVD编号:CNNVD-200906-158
- 危害等级: 中危
- CVE编号: CVE-2009-1140
- 漏洞类型: 信息泄露
- 发布时间: 2009-06-10
- 威胁类型: 远程
- 更新时间: 2019-04-02
- 厂 商: microsoft
- 漏洞来源: Jorge Luis Alvarez...
漏洞简介
Internet Explorer是Windows操作系统中默认捆绑的WEB浏览器 。
如果以UNC形式指定了URI(如\MACHINE_NAME_OR_IPPATH_TO_RESOURCE)的话,IE强制区域安全策略的方式存在一些问题。在这种情况下,IE将任何指向IP地址(包括127.0.0.1)的UNC地址归类为Internet区,因此,属于任何安全区域的任意网站可以将导航流重新定向到\127.0.0.1上所存储的文件。 如果控制了网站的攻击者能够设法在用户的本地文件系统上存储包含有脚本代码的HTML,然后将浏览器重新定向到该本地文件(\127.0.0.1full_file_name),就会以Internet安全区环境加载并呈现这些代码。但由于包含有代码的文件储存在\127.0.0.1上,因此还可以访问用户文件系统上的任意其他文件 。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.microsoft.com/technet/security/Bulletin/MS09-018.mspx?pf=true
参考网址
来源:CERT
链接:http://www.us-cert.gov/cas/techalerts/TA09-160A.HTML
来源:MS
链接:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-019
来源:VUPEN
链接:http://www.vupen.com/english/advisories/2009/1538
来源:SECTRACK
链接:http://www.securitytracker.com/id?1022350
来源:OVAL
链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6278
受影响实体
- Microsoft Ie:5.01:Sp4
- Microsoft Ie:6
- Microsoft Ie:7
- Microsoft Ie:6:Sp1
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论