Универсальный междоменный скриптинг в Internet Explorer

11.07.2002 | 15:26
В одном из элементов HTML 4 - элементе OBJECT, использующимся для внедрения внешних объектов (WebBrowser control, ActiveX controls, images, applets и т.п.) обнаружена уязвимость. Свойства объекта встроенных элементов WebBrowser не подлежат Cross Domain проверкам безопасности, через которые обычно проходят встроенные HTML документы, что дает возможность обходить любые "песочницы" и ограничения зон безопасности.

Уязвимость может быть использована для несанкционированного повышения привилегий, выполнения произвольных команд, локального чтения файлов и кражи Cookies пользователей.

Уязвимы IE6 Win2000 (все SP), IE5.5 Win98 (все SP), IE5.5 WinNT 4 (все SP), Microsoft Outlook, Microsoft Outlook Express.

Решение проблемы: запретить ActiveX или установить "Script ActiveX controls marked safe for scripting".
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код