|
|
MS04-004:MS IE 包含不當 URL 弱點 |
| Misc-197 |
 中風險 |
 影響平台:
Windows NT4, 2000, XP, 2003
|
| |
| 攻擊需求:
被害者進行存取 |
| |
| 造成危害:
取得受害者權限 |
| |
| CVSS 弱點評分:
7 |
| |
| CVE ID:
CVE-2003-1025
|
| |
| |
|
內容描述: |
| |
MS IE 5.01、5.5、6.0 包含函不當 URL 驗證弱點,因為原本在 "username:Password@" 是一種基礎驗證功能, 但是在包含不當 URL 的驗證中, 會導致 Internet Exporer 視窗 URL(位址)出現不正確的顯示.攻擊者可以架構一個惡意的網站或是設計一封惡意的電子郵件, 在這惡意程式中設計 URL 顯示為 http://www.dragonsoft.com (範例), 但在其中還包含另外一個 URL http://www.dragonsoft.com.tw (範例), 引誘使用者開啟這個惡意程式碼, 在使用者點選了這個惡意的程式連結時, 同時執行了攻擊者惡意植入的 URL. |
| |
|
修補方式: |
| |
參考 Microsoft Security Bulletin MS04-025, 安裝 Q867801 修補.
* MS04-004 取代了 MS03-048 的修補, 而 MS04-025 取代了 MS04-004 的修補.
* MS05-020 取代了MS05-014, MS04-025, MS04-004 |
| |
|
相關連結: |
| |
. Microsoft Security Bulletin MS04-025
http://www.microsoft.com/technet/security/bulletin/MS04-025.mspx
.
Microsoft Security Bulletin MS04-004
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
.
CERT Vulnerability Note VU#652278
http://www.kb.cert.org/vuls/id/652278
.
CIAC Information Bulletin O-068
http://www.ciac.org/ciac/bulletins/o-068.shtml
.
BugTraq Mailing List - "Internet Explorer URL parsing vulnerability"
http://archives.neohapsis.com/archives/bugtraq/2003-12/0114.html
.
CERIAS FTP Archive - CIAC Information Bulletin O-068
http://ftp.cerias.purdue.edu/pub/advisories/ciac/o-fy04/o-068.Microsoft.Internet.Explorer.Cumulative.Patch.txt
|
| |
| BugTRAQ ID:
9182
|
| |
| X-Force ID:
13935
|
| |
| |
| 發佈日期:
2004-02-03 |
| 更新日期:
2005-04-15 |
| |
Copyright© DragonSoft Security Associates, Inc.
版權所有© 中華龍網股份有限公司
|
資料庫的內容資訊可能在未經通知下修改. 對於提供的資訊內容並未保證任何性能、適當性或其他任何特殊用途, 其全部之風險均由使用此資訊的使用者自行負擔. 資料庫內容允許非營利事業單位轉載, 但不得將內容予以拷貝修改. 並需註明資料來源.
|
|
|
