ie定制404错误及execommand saveas 警告绕过漏洞
IE定制404错误及exeCommand SaveAs 警告绕过漏洞
信息源:瑞星编译
受影响系统:
Microsoft Internet Explorer 6.0SP2
- Microsoft Windows XP Professional SP2
- Microsoft Windows XP Home SP2
详细描述:
Microsoft Internet Explorer是一款流行的WEB浏览器。
Microsoft Internet Explorer没有正确处理包含部分字符的URL,远程攻击者可以利用这个漏洞绕过XP SP2的文件下载警告消息而直接下载保存文件。
远程用户可以建立一个定制的HTTP 404错误消息,并传递这个消息到execCommand 'SaveAs'方法来绕过'文件下载'和'文件打开'的安全警告,攻击者可以下载任意文件到目标用户系统而对用户没有警告信息提示。