IE浏览器安全漏洞 (阅览 次)

涉及程序：
IE 6 / Windows XP with all patches installed, IE5.5

描述：
IE浏览器允许阅读和发送用户本地文件

详细：
There is a security vulnerability in IE 5.5 and 6 (probably other
versions as well)
IE5、IE5.5和IE6存在一个安全漏洞，允许阅读和发送用户的本地文件。
实际上，当在一个新建窗口调用execScript函数时，就能访问和发送本地文件。本地文件名必须是已知。利用这一点，怀有恶意目的的网站可借用此漏洞迫使用户将本地硬盘上的特定文件名的文件发送给这个服务器。
IE6即使打过所有补丁，仍然存在这个漏洞。
用下面这个方法可以测试您的浏览器是否存在该漏洞：
1、先下载这个文本文件:<a href="http://www.20cn.net/temp/jelmer.txt">jelmer.txt</a>，放到你的c:\盘根目录
2、点击这个连接：<a href="http://www.20cn.net/temp/werk.htm">werk.htm</a>
有兴趣的话，可以再点这个连接：<a href="http://www.20cn.net/temp/werk1.htm">werk1.htm</a>

解决方案：
Disable active scripting


安全建议：
等待MS最新补丁的发布

返回