Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Microsoft Internet Explorer
(5.01, 6.0)
Microsoft Updates
(KB2183461, KB2360131, KB2416400, KB2482017, KB2497640, KB2530548, KB2559049, KB2586448, KB2618444, KB2647516, KB2675157, KB2699988, KB2719177, KB2722913, KB2744842, KB2761451, KB2761465, KB2792100, KB2809289, KB2817183, KB2829530, KB2838727, KB2846071, KB2862772, KB2870699, KB2879017, KB2888505, KB2898785, KB2909921, KB2919355, KB2925418, KB2936068, KB2957689, KB2962872, KB2963950, KB2963952, KB2976627, KB2977629, KB2987107, KB3003057, KB3008923, KB3021952, KB3032359, KB3038314, KB3049563, KB3058515, KB3065822, KB3078071, KB3087038, KB3093983, KB3100773, KB3104002, KB3124275, KB918899, KB922760, KB925454, KB928090, KB931768, KB933566, KB937143, KB939653, KB942615, KB944533, KB947864, KB950759, KB953838, KB956390, KB958215, KB961260, KB963027, KB969897, KB972260, KB974455, KB976325, KB978207, KB980182, KB982381, SP0, SP1, SP2, SP3)
Описание
В способе, которым Internet Explorer выполняет переадресацию, существует уязвимость утечки информации. Злоумышленник может использовать эту уязвимость, создав вредоносную веб-страницу, которая делает возможным раскрытие информации, если пользователь посетит эту веб-страницу. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может просматривать содержимое файлов веб-страницы, расположенной в другом домене Internet Explorer. Чтобы могла возникнуть угроза утечки информации, эта другая веб-страница должна использовать кодировку gzip или другой тип сжатия, поддерживаемый Internet Explorer. Кроме того, для успешного использования этой уязвимости эта другая веб-страница должна кешироваться на стороне клиента.
Как исправить
Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS06-042.mspx
http://www.microsoft.com/technet/security/Bulletin/MS06-042.mspx
Ссылки
FULLDISC (20060627 IE_ONE_MINOR_ONE_MAJOR): http://lists.grok.org.uk/pipermail/full-disclosure/2006-June/047398.html
http://lists.grok.org.uk/pipermail/full-disclosure/attachments/20060627/3d930eda/PLEBO-2006.06.16-IE_ONE_MINOR_ONE_MAJOR.obj
BID (18682): http://www.securityfocus.com/bid/18682
FRSIRT (ADV-2006-2553): http://www.frsirt.com/english/advisories/2006/2553
CERT-VN (VU#883108): http://www.kb.cert.org/vuls/id/883108
SECTRACK (1016388): http://securitytracker.com/id?1016388
XF (ie-redirection-information-disclosure(27452)): http://xforce.iss.net/xforce/xfdb/27452
BUGTRAQ (20060630 Browser bugs hit IE, Firefox today (SANS)): http://www.securityfocus.com/archive/1/archive/1/438785/100/0/threaded
BUGTRAQ (20060630 ISC: Firefox immune to outerHTML flaw in MSIE [Was: Browser bugs hit IE, Firefox]): http://www.securityfocus.com/archive/1/archive/1/438811/100/0/threaded
BUGTRAQ (20060630 RE: [Full-disclosure] Browser bugs hit IE, Firefox today (SANS)): http://www.securityfocus.com/archive/1/archive/1/438863/100/0/threaded
BUGTRAQ (20060630 Re: Browser bugs hit IE, Firefox today (SANS)): http://www.securityfocus.com/archive/1/archive/1/438864/100/0/threaded
BUGTRAQ (20060630 Re: [Full-disclosure] Browser bugs hit IE, Firefox today (SANS)): http://www.securityfocus.com/archive/1/archive/1/438788/100/0/threaded
BUGTRAQ (20060704 Re: Browser bugs hit IE, Firefox today (SANS)): http://www.securityfocus.com/archive/1/archive/1/439146/100/0/threaded
MS (MS06-042): http://www.microsoft.com/technet/security/bulletin/ms06-042.mspx
CERT (TA06-220A): http://www.us-cert.gov/cas/techalerts/TA06-220A.html
FRSIRT (ADV-2006-3212): http://www.frsirt.com/english/advisories/2006/3212
OVAL (oval:org.mitre.oval:def:738): http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:738
http://lists.grok.org.uk/pipermail/full-disclosure/attachments/20060627/3d930eda/PLEBO-2006.06.16-IE_ONE_MINOR_ONE_MAJOR.obj
BID (18682): http://www.securityfocus.com/bid/18682
FRSIRT (ADV-2006-2553): http://www.frsirt.com/english/advisories/2006/2553
CERT-VN (VU#883108): http://www.kb.cert.org/vuls/id/883108
SECTRACK (1016388): http://securitytracker.com/id?1016388
XF (ie-redirection-information-disclosure(27452)): http://xforce.iss.net/xforce/xfdb/27452
BUGTRAQ (20060630 Browser bugs hit IE, Firefox today (SANS)): http://www.securityfocus.com/archive/1/archive/1/438785/100/0/threaded
BUGTRAQ (20060630 ISC: Firefox immune to outerHTML flaw in MSIE [Was: Browser bugs hit IE, Firefox]): http://www.securityfocus.com/archive/1/archive/1/438811/100/0/threaded
BUGTRAQ (20060630 RE: [Full-disclosure] Browser bugs hit IE, Firefox today (SANS)): http://www.securityfocus.com/archive/1/archive/1/438863/100/0/threaded
BUGTRAQ (20060630 Re: Browser bugs hit IE, Firefox today (SANS)): http://www.securityfocus.com/archive/1/archive/1/438864/100/0/threaded
BUGTRAQ (20060630 Re: [Full-disclosure] Browser bugs hit IE, Firefox today (SANS)): http://www.securityfocus.com/archive/1/archive/1/438788/100/0/threaded
BUGTRAQ (20060704 Re: Browser bugs hit IE, Firefox today (SANS)): http://www.securityfocus.com/archive/1/archive/1/439146/100/0/threaded
MS (MS06-042): http://www.microsoft.com/technet/security/bulletin/ms06-042.mspx
CERT (TA06-220A): http://www.us-cert.gov/cas/techalerts/TA06-220A.html
FRSIRT (ADV-2006-3212): http://www.frsirt.com/english/advisories/2006/3212
OVAL (oval:org.mitre.oval:def:738): http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:738