多个厂商Web浏览器JavaScript击键事件过滤漏洞

2006-10-28T00:00:00
ID SSV:265
Type seebug
Reporter Root
Modified 2006-10-28T00:00:00

Description

Firefox和IE都是非常流行的WEB浏览器。

Firefox、IE和其他一些WEB浏览器没有安全的处理用户的键盘输入,导致在输入文本时脚本可能取消某些击键事件。攻击者可以将键盘事件从一个输入表单暗中转到同一页面中隐藏的文件上传对话框中,导致诱骗用户上传文件。但如果要利用这个漏洞,攻击者必须能够诱骗用户手动输入所要下载文件的完整路径。

Microsoft Internet Explorer 7 Beta 2 Microsoft Internet Explorer 7 Beta 1 Microsoft Internet Explorer 6.0 Microsoft Internet Explorer 5.5 Microsoft Internet Explorer 5.01 Mozilla Firefox < 1.5.0.4 临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

  • 禁用JavaScript支持;
  • 在访问不可信任站点时不要输入可疑文本。

厂商补丁:

Microsoft

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.microsoft.com/windows/ie/default.asp

Mozilla

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.mozilla.org/

                                        
                                            
                                                FIREFOX:

&lt;HTML&gt;
&lt;HEAD&gt;
&lt;style type=&quot;text/css&quot;&gt;
.first {
}
.second {
        color: white;
        background-color: white;
        opacity: 0;
}