Microsoft IE违背同源策略漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204990 漏洞类型 未知
发布时间 2001-12-20 更新时间 2005-10-12
CVE编号 CVE-2002-0027 CNNVD-ID CNNVD-200203-003
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200203-003
|漏洞详情
MicrosoftInternetExplorer是与Windows操作系统捆绑在一起的流行的Web浏览器。MicrosoftIE存在设计问题,可能会违背同源策略,导致用户敏感信息泄露。在现代浏览器中,一个Web站点上下文执行的脚本不应该可以能够访问到其他站点的相关实体。这个安全功能称为"同源策略",这可以使恶意网页不能窃取其它不同窗口中的敏感信息。当有漏洞的IE浏览器用document.Open()在父窗口中打开一个子窗口时,在父窗口上下文运行的脚本可能访问到子窗口中的实体。攻击者可能借这个漏洞得到用户的敏感信息、在别的网站上执行操作、传输用户文件到攻击者控制的网站等危坏行为。
|参考资料

来源:BID
名称:3721
链接:http://www.securityfocus.com/bid/3721
来源:MS
名称:MS02-005
链接:http://www.microsoft.com/technet/security/bulletin/ms02-005.asp
来源:BUGTRAQ
名称:20011219InternetExplorerDocument.Open()WithoutClose()CookieStealing,FileReading,SiteSpoofingBug
链接:http://www.securityfocus.com/archive/1/246522
来源:OSVDB
名称:3031
链接:http://www.osvdb.org/3031
来源:USGovernmentResource:oval:org.mitre.oval:def:974
名称:oval:org.mitre.oval:def:974
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:974