CVE-2002-0052
CVSS5.0
发布时间 :2002-03-08 00:00:00
修订时间 :2008-09-10 15:11:09
NMCO    

[原文]Internet Explorer 6.0 and earlier does not properly handle VBScript in certain domain security checks, which allows remote attackers to read arbitrary files.


[CNNVD]Microsoft IE VBScript读取任意文件漏洞(MS02-009)(CNNVD-200203-019)

        
        在现代浏览器中,一个Web站点上下文执行的脚本不应该可以能够访问到其他站点的相关实体。这个安全功能称为"同源策略",这可以使恶意网页不能窃取其它不同窗口中的敏感信息。
        Microsoft IE的VBScript实现上存在一个漏洞,违背了同源策略,可能导致用户敏感信息泄露。
        恶意的VBScript可能利用IE访问到其它站点或域的帧(frame)中的内容,这可能是因为是计算域边界的时候出现了问题,IE试图跨不同的帧对一般域中的内容进行分组。攻击者可能借这个漏洞得到用户与其他站点会话的信息(包括用户名、口令等信息)或者传输用户文件到攻击者控制的网站。
        

- CVSS (基础分值)

CVSS分值: 5 [中等(MEDIUM)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: NONE [不会对系统完整性产生影响]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: [--]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/a:microsoft:ie:5.5Microsoft ie 5.5
cpe:/a:microsoft:ie:5.0.1:sp1Microsoft Internet Explorer 5.0.1 SP1
cpe:/a:microsoft:ie:5.5:sp1Microsoft Internet Explorer 5.5 SP1
cpe:/a:microsoft:ie:5.0.1:sp2Microsoft Internet Explorer 5.0.1 SP2
cpe:/a:microsoft:ie:5.01Microsoft Internet Explorer 5.01
cpe:/a:microsoft:ie:5.5:sp2Microsoft Internet Explorer 5.5 SP2
cpe:/a:microsoft:ie:6.0Microsoft Internet Explorer 6.0

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-0052
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-0052
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200203-019
(官方数据源) CNNVD

- 其它链接及资源

http://www.microsoft.com/technet/security/bulletin/ms02-009.asp
(VENDOR_ADVISORY)  MS  MS02-009
http://www.securityfocus.com/bid/4158
(UNKNOWN)  BID  4158
http://www.osvdb.org/763
(UNKNOWN)  OSVDB  763
http://securitytracker.com/id?1003630
(UNKNOWN)  SECTRACK  1003630

- 漏洞信息

Microsoft IE VBScript读取任意文件漏洞(MS02-009)
中危 设计错误
2002-03-08 00:00:00 2005-05-02 00:00:00
远程  
        
        在现代浏览器中,一个Web站点上下文执行的脚本不应该可以能够访问到其他站点的相关实体。这个安全功能称为"同源策略",这可以使恶意网页不能窃取其它不同窗口中的敏感信息。
        Microsoft IE的VBScript实现上存在一个漏洞,违背了同源策略,可能导致用户敏感信息泄露。
        恶意的VBScript可能利用IE访问到其它站点或域的帧(frame)中的内容,这可能是因为是计算域边界的时候出现了问题,IE试图跨不同的帧对一般域中的内容进行分组。攻击者可能借这个漏洞得到用户与其他站点会话的信息(包括用户名、口令等信息)或者传输用户文件到攻击者控制的网站。
        

- 公告与补丁

        临时解决方法:
        如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
        * 不要使用未修补过的IE浏览不可信的站点。
        * 在IE中设置禁止活动脚本的执行:
        在 工具->Internet选项->安全->脚本->活动脚本 选择禁用。
        厂商补丁:
        Microsoft
        ---------
        Microsoft已经为此发布了一个安全公告(MS02-009)以及相应补丁:
        MS02-009:Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files
        链接:
        http://www.microsoft.com/technet/security/bulletin/MS02-009.asp

        补丁下载:
        
        http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp

- 漏洞信息

763
Microsoft IE VBScript Mis-Handling Arbitrary File Access
Remote / Network Access Input Manipulation
Loss of Confidentiality
Exploit Public

- 漏洞描述

Microsoft Internet Explorer contains a flaw that may lead to an unauthorized information disclosure.  The issue is triggered when the user accesses a web page with frames that contains malicious VBScript in one frame, which will disclose web page components of the other frames and potentially files resulting in a loss of confidentiality.

- 时间线

2002-02-21 Unknow
Unknow Unknow

- 解决方案

Currently, there are no known workarounds or upgrades to correct this issue. However, Microsoft has released a patch to address this vulnerability.

- 相关参考

- 漏洞作者

 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站