Microsoft Browser Client Context Tool 三安全風險_安全漏洞聚焦_龍虎鷹師網安服務器維護基地--Powered by www.594645.tw

Microsoft Browser Client Context Tool 三安全風險

作者:龍虎鷹師網安網站維護基地 來源:龍虎鷹師網安網站維護基地 瀏覽次數:0

本篇關鍵詞:安全風險
龍虎鷹師網安網訊:發布時間:2004-12-07更新時間:2004-12-08嚴重程度:高威脅程度:用戶敏感信息泄露錯誤類型:邊界檢查錯誤利用方式:客戶機模式CVE(CAN) ID:CAN-2004-1133/CAN-20受影響系統 
Microsoft Browser Client Cont ...
發布時間:2004-12-07
更新時間:2004-12-08
嚴重程度:
威脅程度:用戶敏感信息泄露
錯誤類型:邊界檢查錯誤
利用方式:客戶機模式
CVE(CAN) ID:cgi-bin/cvename.cgi?name=CAN-2004-1133/CAN-20">CAN-2004-1133/CAN-20

受影響系統
Microsoft Browser Client Context Tool (W3Who.dll)
詳細描述
Nicolas Gregoire指出微軟的客戶端瀏覽關聯工具(W3Who.dll庫)中幾個漏洞,

           這些漏洞可能被惡意用戶用來進行跨站腳本攻擊或使系統存在潛在的安全風險。
          
           1) 在向用戶顯示錯誤信息之前,提交給W3Who.dll的參數并沒有被正確的檢查。使得它可以被用來在用戶瀏覽時,執行任意的HTML代碼和腳本代碼。
              
           2) 用戶瀏覽之前,傳遞給HTTP頭的參數也沒有進行合法性檢查。
              它可以導致在用戶瀏覽時,執行任意的HTML代碼和腳本代碼。

           3) 存在一個輸入處理的邊界檢查錯誤,輸入超常的參數可導致緩沖區溢出,成功利用可使得攻擊者執行任意代碼。

測試代碼
1) http://[host]/scripts/w3who.dll?bogus=[code]

3) http://[host]/scripts/w3who.dll?AAAAAAAAA...[519 to 12571]....AAAAAAAAAAAAA

解決方案
刪除 W3Who.dll 庫

相關信息
http://secunia.com/advisories/13365/
    龍虎鷹師網安服務器維護方案本篇連接:http://www.594645.tw/show.php?contentid-3065.html
網站維護教程更新時間:2010-09-11 00:13:46  【打印此頁】  【關閉
全站連接N點 | 龍虎鷹師網安 |  
專業服務器維護及網站維護手工安全搭建環境,網站安全加固服務。龍虎鷹師網安服務器維護基地招商進行中!請QQ:29769479

footer  footer  互聯網安全  footer    

江苏快三和值一定牛