Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - Sårbarhet

SR03-018 Ytterligare sårbarheteter i Microsoft Internet Explorer

Publicerad: 030912

Problembeskrivning:
1. File-protocol proxy / WsOpenFileJPU
En illasinnad webbsida kan ta del av information i en "Cookie" genom att öppna den i ett "_search"-fönster. Informationen kan exponeras via "Fileprotocol"-funktionen, vilket kan leda till exekvering av skadlig kod.

  1. NavigateAndFind protocol history / NAFjpuInHistory
    Möjliggör exekvering av JavaScript och kan då nå känslig information via en "history.back"-funktion.

  2. window.open search injection / WsFakeSrc
    Kan öppna olika webbsidor via "window.open"-funktionen och därigenom nå känslig information, samt att exekvera JavaScript i det öppna fönstret.

  3. NavigateAndFind file proxy / NAFfileJPU
    En kombination av sårbarhet 1 och 2 som kan ge illasinnade webbsidor tillgång till känslig information och tillåtelse att exekvera godtycklig kod.

  4. Timed history injection / BackMyParent2
    Ger en möjlighet att nå känslig information från en webbsida som är nedladdad i en annan "frame" och domän via en "history.back"-funktion.

  5. history.back method caching / RefBack
    En annan variant av sårbarhet 5.

  6. Click hijacking / HijackClick
    Denna sårbarhet ger illasinnade webbsidor möjlighet att lura användare att agera på ett visst sätt. Såsom att "dra & släppa" en resurs från ett ställe till ett annat utan vetskap om att det sker. Ett exempel har gjorts genom att tillåta webbsidor att lägga till länkar till Favoriter i IE. Resurserna behöver däremot inte vara länkar och destinationen kan var någon annan än Favoriter.

Påverkade versioner:
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6

Uppdatering:
Microsoft har inte släppt några systemuppdateringar ännu.

Motverkan:
Rekommendationen är att stänga av "Active scripting", ActiveX och "plugins" för alla webbsidor tills en systemuppdatering har släppts.

Mer information:
http://safecenter.net/liudieyu/WsOpenFileJPU/WsOpenFileJPU-Content.HTM
http://safecenter.net/liudieyu/NAFjpuInHistory/NAFjpuInHistory-Content.HTM
http://safecenter.net/liudieyu/WsFakeSrc/WsFakeSrc-Content.HTM
http://safecenter.net/liudieyu/NAFfileJPU/NAFfileJPU-Content.HTM
http://safecenter.net/liudieyu/BackMyParent2/BackMyParent2-Content.HTM
http://safecenter.net/liudieyu/RefBack/RefBack-Content.HTM
http://safecenter.net/liudieyu/HijackClick/HijackClick-Content.HTM