KDE Konqueror SetInterval函数地址栏URI伪造漏洞

2007-08-14T00:00:00
ID SSV:2103
Type seebug
Reporter Root
Modified 2007-08-14T00:00:00

Description

Konqueror是一款多功能的浏览器,允许浏览本地和网络文件系统和全功能的WWW浏览器。 Konqueror不正确过滤用户输入,远程攻击者可以利用漏洞进行URI伪造攻击,获得目标用户敏感信息。 使用较小的间隔值(如0)使用调用setInterval()来更改window.location属性,攻击者可以构建恶意WEB页在地址栏中显示可信URL而内容为任意内容,导致诱使用户信任内容而泄露敏感信息。

KDE Konqueror 3.5.7 KDE Konqueror 3.5.5

目前没有解决方案提供: <a href="http://www.konqueror.org/" target="_blank">http://www.konqueror.org/</a>

                                        
                                            
                                                可参考如下测试页面:
http://alt.swiecki.net/konq2.html