微软ie浏览器访问本地资源漏洞.txt

当今

发信人: scz (小四), 信区: Security 
标  题: 微软IE浏览器访问本地资源漏洞 
发信站: 武汉白云黄鹤站 (Wed Jun  7 19:38:26 2000), 站内信件 
  
漏洞名称：微软IE浏览器访问本地资源漏洞 
类    型：本地/远程 边界检查错误 
发布日期: 2000-06-07 
更新日期: 2000-06-08 
  
受影响的系统： 
  
Microsoft Internet Explorer 5.5 preview 
   - Microsoft Windows 98 
   - Microsoft Windows 95 
   - Microsoft Windows NT 4.0 
Microsoft Internet Explorer 5.01 
   + Microsoft Windows 98 
   + Microsoft Windows 95 
   + Microsoft Windows NT 4.0 
   + Microsoft Windows NT 2000 
Microsoft Internet Explorer 5.0 for Windows NT 4.0 
   + Microsoft Windows NT 4.0 
Microsoft Internet Explorer 5.0 for Windows 98 
   + Microsoft Windows 98 
Microsoft Internet Explorer 5.0 for Windows 95 
   + Microsoft Windows 95 
Microsoft Internet Explorer 5.0 for Windows 2000 
   - Microsoft Windows NT 2000 
Microsoft Internet Explorer 4.0 for Windows NT 4.0 
   + Microsoft Windows NT 4.0 
Microsoft Internet Explorer 4.0 for Windows NT 3.51 
   - Microsoft Windows NT 3.5.1 
Microsoft Internet Explorer 4.0 for Windows 98 
   + Microsoft Windows 98 
Microsoft Internet Explorer 4.0 for Windows 95 
   + Microsoft Windows 95 
Microsoft Internet Explorer 4.0 for WfW 
   + Microsoft Windows 3.11WfW 
  
漏洞描述： 
  
IE里的 NavigateComplete2 函数没有正确地验证源域。于是当你访问一个WWW服务的 
时候，本地文件有可能被远程WWW服务器读取。攻击者只能读取那些他能猜测到路径 
和文件名的本地文件。 

  
<* 来源：Georgi Guninski joro@nat.bg *> 
  
测试程序： 
  
    Georgi Guninski <joro@nat.bg> 建立一个演示页面： 
    http://www.nat.bg/~joro/frame2.html 
  
解决方案: 
  
    临时解决方案，禁止java script 
-- 
  
  
            也许有一天，他再从海上蓬蓬的雨点中升起， 
            飞向西来，再形成一道江流，再冲倒两旁的石壁， 
            再来寻夹岸的桃花。然而，我不敢说来生，也不敢信来生......