[转载]Microsoft Internet Explorer用户安全确认绕过漏洞

信息来源：绿盟科技

发布日期：2004-09-16
更新日期：2004-09-23

受影响系统：
Microsoft Internet Explorer 6.0SP2
   - Microsoft Windows XP Professional SP1
   - Microsoft Windows XP Professional
   - Microsoft Windows XP Home SP1
   - Microsoft Windows XP Home
   - Microsoft Windows 2003 Web Edition
   - Microsoft Windows 2003 Standard Edition
   - Microsoft Windows 2003 Enterprise Edition 64-bit
   - Microsoft Windows 2003 Enterprise Edition
   - Microsoft Windows 2003 Datacenter Edition 64-bit
   - Microsoft Windows 2003 Datacenter Edition
   - Microsoft Windows 2000 Server SP4
   - Microsoft Windows 2000 Professional SP4
   - Microsoft Windows 2000 Datacenter Server SP4
   - Microsoft Windows 2000 Advanced Server SP4
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 11200

Microsoft Internet Explorer是一款流行的WEB浏览器。

Microsoft Internet Explorer存在设计错误，远程攻击者可以利用这个漏洞绕过部分确认验证信息。

攻击者可以构建包含恶意页面的网站，当用户解析执行一些JavaScript或者ActiveX对象时，不提示应有的确认信息，导致某些恶意代码不被用户重视的情况下被执行。

<*来源：cns （cns@free.fr）
  
  链接：http://marc.theaimsgroup.com/?l= ... 39520310153&w=2
*>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

cns （cns@free.fr）提供了如下测试方法：

安装DesignScience，粘贴如下文本到文件中，并赋予.xml扩展名，打开IE，并没有第四行的注释：建议：
--------------------------------------------------------------------------------
厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp