找回密码
 开放注册

QQ登录

只需一步,快速开始

微信登录

微信扫码,快速开始

搜索
NB5牛论坛»首页 技术交流区 网安技术 IE 存在document.open()方式地址欺骗漏洞
返回列表 发新帖
查看: 1079|回复: 0

IE 存在document.open()方式地址欺骗漏洞

[复制链接]
烽火ㄨ飞狐

286

主题

75

回帖

491

牛毛

一级牛人

車菿山偂^︶ㄣ咇侑潞﹏﹖.

积分
491
发表于 2008-1-11 21:14:24 | 显示全部楼层 |阅读模式 来自 内蒙古
受影响系统:

Microsoft Internet Explorer 7.0

Microsoft Internet Explorer 6.0 SP1

Microsoft Internet Explorer 6.0

Microsoft Internet Explorer 5.0.1 SP4

描述:

--------------------------------------------------------------------------------

BUGTRAQ ID: 24***11

CVE(CAN) ID: CVE-2007-3826

Internet Explorer是微软发布的非常流行的WEB浏览器。

IE的document.open()方式实现机制上存在漏洞,远程攻击者可能利用此漏洞进行地址欺骗攻击。

IE没有正确地调用document.open()方式,如果用户在地址栏中手动输入了URL并在调用onBeforeUnload之前反复地调用了这个函数,就会导致页面无法跳转过去,但地址栏中显示的是目标URL栏,因此用户可能误以为正在访问其他的站点,这有助于钓鱼类的攻击。

<*来源:Michal Zalewski (lcamtuf@echelon.pl

链接:http://secunia.com/advisories/26069/

http://lists.grok.org.uk/piperma ... 07-July/064636.html

http://www.microsoft.com/technet ... 07-057.mspx?pf=true

http://www.us-cert.gov/cas/techalerts/TA07-282A.html

*>

建议:

--------------------------------------------------------------------------------

厂商补丁:

Microsoft

---------

Microsoft已经为此发布了一个安全公告(MS07-057)以及相应补丁:

MS07-057:Cumulative Security Update for Internet Explorer (93***53)

链接:http://www.microsoft.com/technet ... 07-057.mspx?pf=true
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 开放注册

本版积分规则

帮助|Archiver|小黑屋|通信管理局专项备案号:[2008]238号|NB5社区 ( 皖ICP备08004151号;皖公网安备34010402700514号 )

GMT+8, 2025-4-27 21:55 , Processed in 0.189067 second(s), 33 queries .

Powered by Discuz! X3.5

快速回复 返回顶部 返回列表