Microsoft IE URLMON嗅探跨域信息泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1180507 漏洞类型 其他
发布时间 2010-02-04 更新时间 2010-02-04
CVE编号 CVE-2010-0555 CNNVD-ID CNNVD-201002-041
漏洞平台 N/A CVSS评分 9.3
|漏洞来源
https://www.securityfocus.com/bid/79018
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201002-041
|漏洞详情
InternetExplorer是Windows操作系统中默认捆绑的web浏览器。在加载本地文件时InternetExplorer的HTML渲染引擎仅检查其MIME类型来判断是否匹配为可处理的文件。对于由于重新定向引用而处理为HTML的未知类型,如果内容源没有明确地设置类型,就会默认将其类型确定为text/html;对于没有明确设置内容类型的非html文件,URLMON会根据重新定向所示默认处理为text/html类型。因此,InternetExplorer会加载非html的本地文件并渲染为HTML,在为内容源所分配的安全区中执行文件中所包含的脚本代码。
|受影响的产品
Microsoft Windows XP Professional x64 Edition Microsoft Windows XP 64-bit Edition Sp2 Pro X64 Microsoft Windows XP 64-bit Edition Microsoft Windows XP Sp2 X64 Microsoft Windows Vista Ho
|参考资料

来源:BID
名称:38056
链接:http://www.securityfocus.com/bid/38056
来源:BID
名称:38055
链接:http://www.securityfocus.com/bid/38055
来源:BUGTRAQ
名称:20100203CORE-2009-0625:InternetExplorerDynamicOBJECTtagandURLMONsniffingvulnerabilities
链接:http://www.securityfocus.com/archive/1/archive/1/509345/100/0/threaded
来源:MISC
链接:http://www.microsoft.com/technet/security/advisory/980088.mspx
来源:MISC
链接:http://www.coresecurity.com/content/internet-explorer-dynamic-object-tag
来源:MISC
链接:http://isc.sans.org/diary.html?n&storyid=8152
来源:MISC
链接:http://blogs.technet.com/msrc/archive/2010/02/03/security-advisory-980088-released.aspx
来源:NSFOCUS
名称:14460※14459
链接:http://www.nsfocus.net/vulndb/14460※14459