漏洞信息详情
Microsoft Internet Explorer 安全漏洞
- CNNVD编号:CNNVD-200205-075
- 危害等级: 高危
- CVE编号: CVE-2002-0189
- 漏洞类型: 其他
- 发布时间: 2002-04-16
- 威胁类型: 远程
- 更新时间: 2021-07-26
- 厂 商: microsoft
- 漏洞来源: Thor Larholm※ Thor...
漏洞简介
Microsoft Internet Explorer(IE)是美国微软(Microsoft)公司的一款Windows操作系统附带的Web浏览器。
Microsoft Internet Explorer存在安全漏洞。其中可以通过脚本调用两个函数showModalDialog和showModelessDialog支持对话窗口。这些函数接收用于对话内容的URL定位,存在一个选项参数以允许数据从调用页面中传递给对话框。Microsoft Internet Explorer在传递给对话框数据的安全检查处理存在问题,可导致攻击者以本地(intranet)安全区域上下文执行任意脚本代码。为了保证只允许把位于在同一域中的调用页面中数据传递给对话框,IE对此会进行安全检查,如:当从另一个协议,端口或者域名( http://jscript.dk )打开对话框( res://shdoclc.dll/policyerror.htm )时,IE验证代码会确保没有对象传输,而且没有任何交互,这是为了防止恶意一方把任意数据内容插入到任意对话框中。但是如果对话框资源中提供的URL重定向到另一个位置,IE只对原始URL进行安全检查,而不对最后的URL进行检查,这样就可以导致绕过安全检查,插入任意数据到对话框,并在本地计算机安全区域中执行。
漏洞公告
临时解决方法:
如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 不要用IE浏览一些不可信的站点。
* 暂时关闭脚本执行选项直至有补丁下载。
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/windows/ie/default.asp" target="_blank">
http://www.microsoft.com/windows/ie/default.asp
参考网址
来源:OVAL
链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A19
来源:MS
链接:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2002/ms02-023
受影响实体
- Microsoft Ie:5.0
- Microsoft Ie:5.5
- Microsoft Ie:5.5:Sp1
- Microsoft Ie:6.0
- Microsoft Ie:5.5:Sp2
补丁
暂无
评论