Microsoft IE 框架域判断错误读取任意文件漏洞(MS01-058)

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1205012 漏洞类型 未知
发布时间 2001-12-13 更新时间 2005-10-12
CVE编号 CVE-2001-0874 CNNVD-ID CNNVD-200112-096
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200112-096
|漏洞详情
MicrosoftIE在判断框架域时没有进行有效的访问验证,允许恶意网站管理员读取访问用户本地系统中的特定类型的文件。恶意的网站管理员可以利用这一漏洞打开两个浏览器窗口(一个在该网站的域中,另一个则是在该用户的本地文件系统中),并从后一个窗口向前一个窗口发送信息。这样该网站管理员就可以通过浏览器窗口读取(但不能修改)用户本地计算机中的任何文件。攻击者只能利用这一漏洞阅读可以用浏览器窗口打开的文件,例如图片文件、HTML文件和文本文件。其他文件类型,如程序文件、可执行文件、Word文档等都无法阅读。另外,攻击者也必须确切地知道文件名和路径才能成功地阅读本地系统中的这个文件。这个漏洞是MS01-015中讨论过的"框架域判断"漏洞的一个新变种<*链接:http://www.microsoft.com/technet/security/bulletin/MS01-058.asp*>
|参考资料

来源:XF
名称:ie-frame-verification-variant2(7702)
链接:http://xforce.iss.net/static/7702.php
来源:BID
名称:3693
链接:http://www.securityfocus.com/bid/3693
来源:MS
名称:MS01-058
链接:http://www.microsoft.com/technet/security/bulletin/ms01-058.asp
来源:CIAC
名称:M-027
链接:http://www.ciac.org/ciac/bulletins/m-027.shtml