漏洞信息详情

Microsoft Internet Explorer安全漏洞

• CNNVD编号：CNNVD-200210-282
• 危害等级： 高危
  
• CVE编号： CVE-2002-1217
• 漏洞类型： 其他
• 发布时间： 2002-10-28
• 威胁类型： 远程
• 更新时间： 2021-07-27
• 厂        商： microsoft
• 漏洞来源： GreyMagic Software...

漏洞简介

Microsoft Internet Explorer（IE）是美国微软（Microsoft）公司的一款Windows操作系统附带的Web浏览器。

Microsoft Internet Explorer是微软公司开发和维护的流行的WEB浏览器。MSIE没有充分检查所有帧属性的访问控制权限，远程攻击者可以利用这个漏洞未授权访问其他不同域中帧/子帧的文档对象模型(Document Object Model)。frame和iframe元素可以把URL包含在其他域或者协议中，因此具有严格的安全规则，防止其他域中的帧访问不同域中的内容和信息。MSIE对通过交叉域访问\'\'document\'\'属性具有严格的安全检查规则，但是访问\'\'Document\'\'没有进行充分检查。一般情况下，使用\"oElement.document\"可以提供拥有当前元素文档的引用，这在frame和iframe中都可相同应用，但是，当使用\"oIFrameElement.Document\"时，返回包含在frame中的文档却没有充分检查它是否属于不同领域。这就导致自由和完全访问帧的文档对象模型，允许攻击者窃取任意站点的Cookie信息，访问任意站点的伪造的内容，读取本地文件和在客户机上在\"我的电脑\"域中执行任意程序。攻击者可以通过构建恶意WEB页面或者通过HTML形式的电子邮件来触发这个漏洞。

漏洞公告

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 关闭IE浏览器的Active脚本执行功能。

厂商补丁：

Microsoft

---------

Microsoft Internet Explorer 6.0 SP1补丁程序：

http://www.microsoft.com/windows/ie/downloads/critical/ie6sp1/default.asp" target="_blank">

http://www.microsoft.com/windows/ie/downloads/critical/ie6sp1/default.asp

参考网址

来源:XF

链接:http://www.iss.net/security_center/static/10371.php

来源:BUGTRAQ

链接:http://marc.info/?l=bugtraq&m=103470310417576&w=2

来源:OVAL

链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A272

来源:NTBUGTRAQ

链接:http://marc.info/?l=ntbugtraq&m=103470202010570&w=2

来源:VULNWATCH

链接:http://archives.neohapsis.com/archives/vulnwatch/2002-q4/0024.HTML

来源:OVAL

链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A333

来源:CIAC

链接:http://www.ciac.org/ciac/bulletins/n-018.sHTML

来源:MISC

链接:http://security.greymagic.com/adv/gm011-ie/

来源:MS

链接:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2002/ms02-066

来源:BID

链接:https://www.securityfocus.com/bid/5963

受影响实体

• Microsoft Ie:6.0  
• Microsoft Ie:5.5:Sp2  
• Microsoft Ie:5.5:Sp1  
• Microsoft Ie:5.5  

补丁

暂无