|
 | 作者: group [group]
 论坛用户 |
登录 |
| Microsoft IE任意程序可执行漏洞 () 受影响系统: -------------------------------------------------------------------------------- Microsoft Internet Explorer 6.0 - Microsoft Windows 98 - Microsoft Windows 98se - Microsoft Windows ME - Microsoft Windows 2000 Workstation - Microsoft Windows 2000 Workstation SP1 - Microsoft Windows 2000 Workstation SP2 - Microsoft Windows NT 4.0SP6a 不受影响的系统: -------------------------------------------------------------------------------- 漏洞内容: -------------------------------------------------------------------------------- 2000年6月24日的http-equiv <http-equiv@excite.com> 发现MSIE可以允许恶意网管在客户端执行任意程序,问题存在于关于在HTML嵌入带非零 CLASSID值的对象并且CODEBASE参数设置客户端可执行程序的路径,可导致程序可执行。 不过以后的MSIE版本还是存在这个漏洞,如果CODEBASE值设置为客户端可执行程序嵌入到使用window.PoPup() 或者 window.Open()建立的新对象,指定的程序就会被在执行。 攻击实例: -------------------------------------------------------------------------------- 一个演示程序如下所示: http://www.osioniusx.com/. 解决方案: -------------------------------------------------------------------------------- 尚无 Pull <osioniusx@yahoo.com>. 参考:http://www.securityfocus.com/archive/1/250136 http://www.securityfocus.com/archive/1/66678 |
| 地主 发表时间: 01/18 14:57 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: Microsoft IE任意程序可执行漏洞