IE 存在document.open()方式地址欺骗漏洞

发布时间：2008.01.11 04:23 来源：赛迪网作者：绿盟科技

【绿盟科技授权，赛迪发布，谢绝任何网站转载，违者，赛迪网将保留追究其法律责任的权利！】

发布日期：2007-07-14

更新日期：2007-10-09

受影响系统：

Microsoft Internet Explorer 7.0

Microsoft Internet Explorer 6.0 SP1

Microsoft Internet Explorer 6.0

Microsoft Internet Explorer 5.0.1 SP4

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 24911

CVE(CAN) ID: CVE-2007-3826

Internet Explorer是微软发布的非常流行的WEB浏览器。

IE的document.open()方式实现机制上存在漏洞，远程攻击者可能利用此漏洞进行地址欺骗攻击。

IE没有正确地调用document.open()方式，如果用户在地址栏中手动输入了URL并在调用onBeforeUnload之前反复地调用了这个函数，就会导致页面无法跳转过去，但地址栏中显示的是目标URL栏，因此用户可能误以为正在访问其他的站点，这有助于钓鱼类的攻击。

<*来源：Michal Zalewski （lcamtuf@echelon.pl）

链接：http://secunia.com/advisories/26069/

http://lists.grok.org.uk/pipermail/full-disclosure/2007-July/064636.html

http://www.microsoft.com/technet/security/Bulletin/MS07-057.mspx?pf=true

http://www.us-cert.gov/cas/techalerts/TA07-282A.html

建议：

--------------------------------------------------------------------------------

厂商补丁：

Microsoft

---------

Microsoft已经为此发布了一个安全公告（MS07-057）以及相应补丁:

MS07-057：Cumulative Security Update for Internet Explorer (939653)

链接：http://www.microsoft.com/technet/security/Bulletin/MS07-057.mspx?pf=true

(责任编辑：李磊)

【相关文章】

·	案例：Wsdom为山东联通网络业务保驾护航	(01-10)	·	Headcall全系列VoIP产品亮相CSE 2008大展	(01-10)
·	Windows惊现高危漏洞危险性极似当年震荡波	(01-10)	·	Firefox被发现重大安全漏洞可导致密码失窃	(01-10)
·	Websense推出DLP解决方案构建终端安全防线	(01-09)	·	Microsoft IE onunload事件地址栏欺骗漏洞	(01-09)
·	X.Org 存在X字体服务器多个内存破坏漏洞	(01-09)	·	分析入侵检测系统漏洞　认识黑客入侵手法	(01-09)
·	通过网页传播的 SillyDl 变体特洛伊木马	(01-09)	·	警惕“磁碟机变种204808”的7个病毒文件	(01-09)

【客户需求反馈表】

姓　　名:

更多资料　了解方案　认识厂商

单位名称:

联系电话:

电子邮件: