您的位置：首页 → 资讯 → 网络应用 → IE Object Data Remote Execution Vulnerability

IE Object Data Remote Execution Vulnerability

时间：2004/10/8 16:34:00来源：本站整理作者：蓝点我要评论(0)

　　　　

eEye Digital Security在8月20号公布了这个漏洞，该漏洞是由于HTML中的OBJECT的DATA标签引起的。对于DATA所标记的URL，IE会根据服务器返回的HTTP头中的Content-Type来处理数据，也就是说如果HTTP头中返回的是application/hta等。那么该文件就能够执行，而不管IE的安全级别多高。来看个例子,这里有两个文件。
--------------test.htm-----------------


This is a Test!


------------End of test.htm--------------

--------------test.test------------------




------------End of test.test---------------
把test.test放在HTTP服务器的相应目录下，然后更改服务器的MIME映射为扩展名.test对应application/hta。用IE打开test.htm看看结果。我们可以更改test.test让它更有威力，可以让它先下载一个后门程序等，然后再运行它。看看这段代码。
---------------test.test---------------------




--------------------end of test.test------------------------
参考资料：
http://www.eeye.com/html/Research/Advisories/AD20030820.html
http://www.microsoft.com/technet/security/bulletin/MS03-032.asp

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论

查看所有0条评论>>

发表评论

我来说两句...

提交评论