Microsoft IE 5.01/5.5 DHTMLED远程文件读取漏洞
Microsoft IE 5.5/5.01中DHTMLED(动态HTML编辑控制)部分的实现存在安全问题。可能允许 一个恶意站点非法读取远程客户主机上的已知文件的内容。这种攻击也可以通过发送HTML格式的 邮件给那些使用Outlook的用户来实现。 动态HTML编辑控制是一种让IE具有WYSIWYG HTML编辑器功能的机制。然而DOM安全模型没有正确 处理通过DHTMLED来使用IFRAME的情况,导致IFRAME的内容可以被重定向到某个web server IFRAME可以被设置为从已知的本地文件读取。下面是一个例子代码: dh.DOM.all.I1.focus;...