Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information

http://www.secunia.com

Release Date: 2006-04-27
Where: From remote

Solution Status: Unpatched

Software: Microsoft Internet Explorer 6.x

Description

이 취약점은 "mhtml" 이라는 URI handler에서 리다이렉션에 대한 처리의 에러로 인해 발생하

며 원래 크로스 도메인의  액세스되어질 수 없는 컨텐츠 정보를 javascript로 읽어낼 수 있는게
가능하게 되어 Internet Explorer 안에서 정보가  누출시킬 수 있다고 secunia를 통해

발표되었습니다. 그리고 CSS취약점에서는 유저가 페이지에 포함되어 있을 필요가 있었

습니다만, 이번 취약점에는 그러한 제한이 없기 때문에,  attack이  보다 용이해지는 것이 예상됩니다.


http://secunia.com/Internet_Explorer_Arbitrary_Content_Disclosure_Vulnerability_Test/

위의  사이트에서 취약점 테스트를 제공합니다.

solution:

브라우저에서 다음과 같이 Active Scripting 을 비활성화

- Internet Explorer 에서 도구 -> 인터넷 옵션을 선택합니다.
- 보안 탭을 클릭

- 인터넷을 클릭하고 사용자 지정수준을 클릭합니다.

- 스크립팅에서 active 스크립팅을 사용안함으로 체크하고 ok 합니다.

- local intranet에서도 똑같이 설정합니다.

그러나 Active Scripting을 비활성화 시키는 것은 다른 사이트에서 유저의 요청에대한
부정확한 결과값을 반환할 수도 있기 때문에 이에  염두해 두어야 할 것입니다.

by codexb | 2006/05/18 00:25 | advisory | 트랙백

트랙백 주소 : http://leony.egloos.com/tb/1973964
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
※ 이 포스트는 더 이상 덧글을 남길 수 없습니다.

◀ 이전 페이지          다음 페이지 ▶