Microsoft IE浏览器DYNSRC文件信息泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204538 漏洞类型 输入验证
发布时间 2002-03-27 更新时间 2005-10-20
CVE编号 CVE-2002-0500 CNNVD-ID CNNVD-200208-062
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200208-062
|漏洞详情
MicrosoftInternetExplorer是一款Microsoft公司开发维护的流行WEB浏览器,可运行在多种系统平台下。MicrosoftInternetExplorer在DYNSRC属性的实现上存在问题,可导致本地文件信息泄露漏洞。MicrosoftInternetExplorer中的元素一般那用来在HTML文档中代表图象,但是,它也包含允许代表各种其他媒体类型,如VRML、AVI、MPEG等。如果文件名被指定为DYNSRC属性就可能通过检查元素的文件大小属性来判断文件是否存在,如果返回值为-1就表示文件不存在,有任意值返回就表示文件存在。当文件已知存在时就可以利用元素获得更多的信息如文件大小、文件建立日期、文件最后修改日期、文件最后更新日期等。
|参考资料

来源:XF
名称:ie-dynsrc-information-disclosure(8658)
链接:http://www.iss.net/security_center/static/8658.php
来源:BID
名称:4371
链接:http://www.securityfocus.com/bid/4371
来源:BUGTRAQ
名称:20020326RetrievinginformationonlocalfilesinIE(GM#003-IE)
链接:http://archives.neohapsis.com/archives/bugtraq/2002-03/0331.html