Microsoft IE 执行任意文件漏洞(MS01-058)

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1205006 漏洞类型 设计错误
发布时间 2001-12-14 更新时间 2005-10-12
CVE编号 CVE-2001-0727 CNNVD-ID CNNVD-200112-102
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200112-102
|漏洞详情
MicrosoftIE在处理HTTP头信息时存在安全问题,可能导致执行任意文件。这是由于IE在HTTP头信息"Content-type"或"Content-disposition"与实际文件类型冲突时以前者为准造成的。如果攻击者以某种方式修改了HTML报头,IE就可能将一个可执行文件当成另外一种可能根本无须确认就可以直接打开的文件类型。这样攻击者就可以创建一个畸形的HTML邮件,邮件一旦打开,就可以在用户系统中自动运行可执行文件。
|参考资料

来源:CERT/CCAdvisory:CA-2001-36
名称:CA-2001-36
链接:http://www.cert.org/advisories/CA-2001-36.html
来源:US-CERTVulnerabilityNote:VU#443699
名称:VU#443699
链接:http://www.kb.cert.org/vuls/id/443699
来源:MS
名称:MS01-058
链接:http://www.microsoft.com/technet/security/bulletin/ms01-058.asp
来源:BUGTRAQ
名称:20011214MSIEmaydownloadandrunprogamsautomatically
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=100835204509262&w=2
来源:BUGTRAQ
名称:20011216Re:MSIEmaydownloadandrunprogamsautomatically-NOTSOFAST
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=100861273114437&w=2
来源:XF
名称:ie-file-download-execution(7703)
链接:http://xforce.iss.net/xforce/xfdb/7703
来源:BID
名称:3578
链接:http://www.securityfocus.com/bid/3578
来源:OSVDB
名称:3033
链接:http://www.osvdb.org/3033
来源:CIAC
名称:M-027
链接:http://www.ciac.org/ciac/bulletins/m-027.shtml
来源:USGovernmentResource:oval:org.mitre.oval:def:921
名称:oval:org.mitre.oval:def:921
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:921