Microsoft Internet Explorer对话框交叉域冲突漏洞(MS03-004)

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1203057 漏洞类型 未知
发布时间 2003-02-19 更新时间 2005-10-12
CVE编号 CVE-2003-1326 CNNVD-ID CNNVD-200302-025
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200302-025
|漏洞详情
MicrosoftInternetExplorer是一款流行的WEB浏览器。InternetExplorer的交叉域安全模型实现存在漏洞,远程攻击者可以利用这个漏洞构建恶意页面,诱使用户点击,查看在不同域中的信息。InternetExplorer中的交叉域安全模型用来维护不同域窗口中共享信息。其中由于安全检查不完全,当使用部分对话框时导致IE允许某一WEB站点访问其他域中的信息。要利用这个漏洞,攻击者必须拥有恶意WEB站点,构建利用此漏洞的WEB页面,诱使用户访问。一旦目标用户访问后,就可以通过错误使用对话框运行恶意脚本代码,使脚本访问其他不同域中的信息。最坏情况下,可以导致恶意WEB站点管理员在用户系统上装载任意代码。
|参考资料

来源:MS
名称:MS03-004
链接:http://www.microsoft.com/technet/security/bulletin/ms03-004.asp
来源:XF
名称:ie-dialog-zone-bypass(11258)
链接:http://www.iss.net/security_center/static/11258.php
来源:BID
名称:6779
链接:http://www.securityfocus.com/bid/6779
来源:CIAC
名称:N-038
链接:http://www.ciac.org/ciac/bulletins/n-038.shtml
来源:USGovernmentResource:oval:org.mitre.oval:def:49
名称:oval:org.mitre.oval:def:49
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:49
来源:USGovernmentResource:oval:org.mitre.oval:def:178
名称:oval:org.mitre.oval:def:178
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:178
来源:USGovernmentResource:oval:org.mitre.oval:def:126
名称:oval:org.mitre.oval:def:126
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:126