Second Life URI处理器敏感信息泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1189125 漏洞类型 加密问题
发布时间 2007-09-18 更新时间 2007-09-18
CVE编号 CVE-2007-4960 CNNVD-ID CNNVD-200709-216
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
https://www.securityfocus.com/bid/85362
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200709-216
|漏洞详情
SecondLife是一种基于网络的虚拟现实游戏。SecondLife安装的URI处理器实现机制上存在漏洞,远程攻击者可能利用此漏洞通过诱使用户访问恶意网页获取用户的敏感信息。SecondLife注册的secondlife://URI处理器允许网站指定任意参数调用它,比如用于认证的"-autologin"和"-loginuri"参数,这样如果用户访问了带有恶意命令的网页,客户端会向发生命令的网页发送登录凭证及安装软件。
|受影响的产品
Linden Lab Second Life 1
|参考资料

来源:BUGTRAQ
名称:20070916IE(InternetExplorer)pwnsSecondLife
链接:http://www.securityfocus.com/archive/1/archive/1/479698/100/0/threaded
来源:MISC
链接:http://www.gnucitizen.org/blog/ie-pwns-secondlife
来源:VUPEN
名称:ADV-2007-3188
链接:http://www.frsirt.com/english/advisories/2007/3188
来源:SECUNIA
名称:26845
链接:http://secunia.com/advisories/26845
来源:XF
名称:secondlife-secondlife-info-disclosure(36651)
链接:http://xforce.iss.net/xforce/xfdb/36651