受影响的系统:
Microsoft Windows操作系统
详细描述:
当IE决定一个浏览器框架的安全域时,若该框架在一个域内打开的同时又被WEB服务重定向到另一个不同域,便会引发一个交叉域漏洞。这当中涉及一些复杂状况,包括一个被延误的HTTP响应(3XX状态码)去改变框架的内容到另一个域。漏洞注释VU#713878描述了这个漏洞的更多技术细节,并且可以不断更新信息。
其它设定WEB浏览器ActiveX控制项和使用MSHTML翻译引擎的程序也会被影响,例如Outlook和Outlook Express。
这个已经在CVE CAN-2004-0549中指出。
当受害者浏览一个HTML文档(网页,HTML电子邮件)时,攻击者能执行包含有攻击者文档以外的安全域的脚本。通过在本机域(Local Machine Zone)内执行脚本,攻击者可以以IE运行者的权利执行任意代码。
目前微软还没有发布可行的完全解决方案。
文章来源:天极网
|
