Microsoft IE窗口位置跨域信息泄露漏洞【公告】

受影响系统:

  Microsoft Internet Explorer 6.0 SP1

  Microsoft Internet Explorer 6.0

  Microsoft Internet Explorer 5.0.1 SP4

  描述:

  BUGTRAQ ID: 19339

  CVE(CAN) ID: CVE-2006-3640

  Microsoft Internet Explorer是微软发布的非常流行的WEB浏览器。

  Microsoft Internet Explorer在处理页面中的脚本访问能力时存在漏洞,远程攻击者可能利用此漏洞获取某些用户所访问过的地址信息。

  Internet Explorer允许在网页间导航时保持一些脚本,然后使用这个脚本访问其他域或Internet Explorer区中的Web页面窗口位置。如果用户受骗访问了恶意的Web站点,攻击者就可以看到同一Internet Explorer会话中以后所访问的页面位置。

  <*来源:Microsoft

   链接:http://www.microsoft.com/technet/security/bulletin/ms06-042.mspx

   http://www.us-cert.gov/cas/techalerts/TA06-220A.html

  *>

  建议:

  临时解决方法:

  * 配置Internet Explorer在运行活动脚本之前要求提示,或在Internet和本地Intranet安全区中禁用活动脚本。

  * 将Internet和本地Intranet安全区设置为“高”以在运行ActiveX控件和活动脚本之前要求提示。

  厂商补丁:

  Microsoft

  Microsoft已经为此发布了一个安全公告(MS06-042)以及相应补丁:

  MS06-042:Cumulative Security Update for Internet Explorer (918899)

  链接:http://www.microsoft.com/technet/security/bulletin/ms06-042.mspx
最后编辑2006-08-16 20:32:33.687000000