Microsoft IE JavaScript跨域信息泄露漏洞(MS11-018)

2011-04-15T00:00:00
ID SSV:20480
Type seebug
Reporter Root
Modified 2011-04-15T00:00:00

Description

BUGTRAQ ID: 47192 CVE ID: CVE-2011-1245

Windows Internet Explorer,原称Microsoft Internet Explorer,简称MSIE(一般称为Internet Explorer,简称IE),是微软公司推出的一款网页浏览器。

Microsoft Internet Explorer JavaScript在实现上存在跨域信息泄露漏洞,远程攻击者可利用此漏洞访问其他域或安全区域内的内容,获取敏感信息。

IE中存在可允许脚本访问另一域中的信息或IE区域的信息泄露漏洞。攻击者通过构建可造成信息泄露的特制网页并使用户查看该网页利用此漏洞。成功利用此漏洞可使攻击者访问另一域中的信息或IE区域。

Microsoft Internet Explorer 7.x Microsoft Internet Explorer 6.x 临时解决方法:

  • 以纯文本格式读取电子邮件

  • 将“Internet"和本地内联网安全区域设置为“高”以在这些区域中禁用ActiveX控件和 Active脚本。

  • 配置IE,在运行Active脚本之前提示或在互联网和内网安全区域中禁用Active脚本

厂商补丁:

Microsoft

Microsoft已经为此发布了一个安全公告(MS11-018)以及相应补丁:

MS11-018:Cumulative Security Update for Internet Explorer (2497640)

链接:http://www.microsoft.com/technet/security/bulletin/MS11-018.asp