Microsoft IE Content-Disposition处理可执行文件漏洞(MS02-023)

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204266 漏洞类型 设计错误
发布时间 2002-05-29 更新时间 2005-10-12
CVE编号 CVE-2002-0193 CNNVD-ID CNNVD-200205-088
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200205-088
|漏洞详情
MicrosoftInternetExplorer是一款微软开发的流行的WEB浏览器。MicrosoftInternetExplorer在处理用来描述非HMTL内容的HTTP头信息存在漏洞,可导致远程攻击者使用户IE自动下载和执行程序。此问题类似MS01-58(http://www.microsoft.com/technet/security/bulletin/MS01-058.asp)所描述的漏洞,由于在处理描述非HTML内容的HTTP头信息存在问题,攻击者可以构建提供content-type和content-disposition字段值不匹配的WEB页面,当用户查看此页面时,会自动下载和执行攻击者提供的程序。此漏洞需要系统中的其他应用程序处理攻击者提供的畸形内容,并提交给操作系统产生错误,目前测试中表明当系统安装了WindowsMediaPlayer6.4或者7.1时可成功利用此漏洞。
|参考资料

来源:MS
名称:MS02-023
链接:http://www.microsoft.com/technet/security/bulletin/ms02-023.asp
来源:XF
名称:ie-content-disposition-variant(9085)
链接:http://xforce.iss.net/xforce/xfdb/9085
来源:BID
名称:4752
链接:http://www.securityfocus.com/bid/4752
来源:USGovernmentResource:oval:org.mitre.oval:def:99
名称:oval:org.mitre.oval:def:99
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:99
来源:USGovernmentResource:oval:org.mitre.oval:def:27
名称:oval:org.mitre.oval:def:27
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:27