Межсайтовый скриптинг при обработке некорректных XML документов в Microsoft Internet Explorer

18.06.2003 | 15:23
Уязвимость обнаружена в Internet Explorer в обработчике XML документов. Удаленный атакующий может выполнить произвольный код сценария в контексте целевого Web сайта.

Internet Explorer автоматически пытается анализировать любой XML файл, который запрашивается браузером. Если анализ прошел успешно, в браузере пользователя отобразится динамическое дерево различных XML элементов. Если при анализе возникает ошибка, Internet Explorer отобразит ошибку вместе с URL запрашиваемого XML файла.

В некоторых случаях отображенный URL не фильтруется на наличие HTML кода. Фактически это означает, что наличие на вашем сайте XML файла, который не может быть правильно проанализирован Internet Explorer и MSXML, делает ваш сайт уязвимым к XSS нападениям.

Проблема была воспроизведена в различных установках, но GreyMagic не смог достоверно определить уязвимый компонент. Скорее всего, уязвимость затрагивает некоторые версии MSXML, а не Internet Explorer непосредственно.

Microsoft смогла воспроизвести обнаруженный недостаток только на IE6 Gold. Как сообщает GreyMagic, они смогли воспроизвести уязвимость на следующих системах: IE5.5 NT4, IE6 Win98, IE6 Win2000. Выпущен демонстрационный эксплоит.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код