2006년 05월 18일
Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information
http://www.secunia.com
Release Date: 2006-04-27
Where: From remote
Solution Status: Unpatched
Software: Microsoft Internet Explorer 6.x
Description
이 취약점은 "mhtml" 이라는 URI handler에서 리다이렉션에 대한 처리의 에러로 인해 발생하
며 원래 크로스 도메인의 액세스되어질 수 없는 컨텐츠 정보를 javascript로 읽어낼 수 있는게
가능하게 되어 Internet Explorer 안에서 정보가 누출시킬 수 있다고 secunia를 통해
발표되었습니다. 그리고 CSS취약점에서는 유저가 페이지에 포함되어 있을 필요가 있었
습니다만, 이번 취약점에는 그러한 제한이 없기 때문에, attack이 보다 용이해지는 것이 예상됩니다.
http://secunia.com/Internet_Explorer_Arbitrary_Content_Disclosure_Vulnerability_Test/
위의 사이트에서 취약점 테스트를 제공합니다.
solution:
브라우저에서 다음과 같이 Active Scripting 을 비활성화
- Internet Explorer 에서 도구 -> 인터넷 옵션을 선택합니다.
- 보안 탭을 클릭
- 인터넷을 클릭하고 사용자 지정수준을 클릭합니다.
- 스크립팅에서 active 스크립팅을 사용안함으로 체크하고 ok 합니다.
- local intranet에서도 똑같이 설정합니다.
그러나 Active Scripting을 비활성화 시키는 것은 다른 사이트에서 유저의 요청에대한
부정확한 결과값을 반환할 수도 있기 때문에 이에 염두해 두어야 할 것입니다.
Release Date: 2006-04-27
Where: From remote
Solution Status: Unpatched
Software: Microsoft Internet Explorer 6.x
Description
이 취약점은 "mhtml" 이라는 URI handler에서 리다이렉션에 대한 처리의 에러로 인해 발생하
며 원래 크로스 도메인의 액세스되어질 수 없는 컨텐츠 정보를 javascript로 읽어낼 수 있는게
가능하게 되어 Internet Explorer 안에서 정보가 누출시킬 수 있다고 secunia를 통해
발표되었습니다. 그리고 CSS취약점에서는 유저가 페이지에 포함되어 있을 필요가 있었
습니다만, 이번 취약점에는 그러한 제한이 없기 때문에, attack이 보다 용이해지는 것이 예상됩니다.
http://secunia.com/Internet_Explorer_Arbitrary_Content_Disclosure_Vulnerability_Test/
위의 사이트에서 취약점 테스트를 제공합니다.
solution:
브라우저에서 다음과 같이 Active Scripting 을 비활성화
- Internet Explorer 에서 도구 -> 인터넷 옵션을 선택합니다.
- 보안 탭을 클릭
- 인터넷을 클릭하고 사용자 지정수준을 클릭합니다.
- 스크립팅에서 active 스크립팅을 사용안함으로 체크하고 ok 합니다.
- local intranet에서도 똑같이 설정합니다.
그러나 Active Scripting을 비활성화 시키는 것은 다른 사이트에서 유저의 요청에대한
부정확한 결과값을 반환할 수도 있기 때문에 이에 염두해 두어야 할 것입니다.
# by | 2006/05/18 00:25 | advisory | 트랙백
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]