window.showHelp()漏洞 系列1

Internet Explorer跨域安全漏洞

跨域安全模型是IE的主要安全功能之一。域是一个安全边界，在相同的域中各个浏览器窗口之间可共享数据并能继承权限，但是在不同的域中这些是不被允许的。IE的跨域安全应用中存在一个
漏洞，允许一个恶意的web管理者查看其他域上的信息或者通过引诱用户访问含有恶意代码的页面，然后将精心构造的代码注入到弹出的对话框中，从而在用户的系统中执行任意的命令或者调
用系统中已有的程序并执行它。


Internet Explorer ShowHelp远程任意命令执行漏洞


showHelp()用于显示包含帮助内容的HTML页面。showHelp()允许多种类型的protocols协议，不过对于URL参数有多个安全限制：

1.只有以"file:"或"http:"开始的URL被允许。
2.如果URL指向本地资源，它必须编译成以.chm为扩展名的帮助文件。
3.使用HTTP协议下载的编译好的帮助文件不可信。

问题在于当你以"file:"参数调用showHelp，其安全限制会被关闭。因此攻击者可以构造恶意的web页面引诱用户去点击，一旦用户点击了包含有攻击程序的页面，攻击者就可以利Javascript
协议在目标用户本地系统上打开showHelp窗口到一个已知的本地文件，再使用特殊URL把文件信息发到第二个showHelp窗口而获得文件信息。攻击者也可以构造恶意页面在目标用户系统上执行任意命令。

注意：当你安装了该补丁后IE的window.showHelp( )功能将被关闭。当你使用windows updata功能安装最新的HTML help的升级包后， window.showHelp()功能将恢复，但是它的某些功能被限制，做这些限制是为了有效的防御攻击者的攻击。


缓解因素：
1.攻击者主机上必须拥有一个包含精心构造的恶意web页面的站点。
2.攻击者不能强迫用户访问他的站点，只能引诱用户点击进入攻击者站点的链接。
3.在缺省的情况下，Outlook Express 6.0 和 Outlook 2002将在限定站点内打开HTML邮件。此外，如果安装了Outlook电子邮件安全更新， Outlook 98 和 2000也将只在限定站点内打开
HTML邮件。除非用户点击电子邮件上的恶意链接，否则使用这些产品的用户将不受缺陷的影响。
4.使用Internet Explorer 5.01的用户不受第一个缺陷的影响。


影响系统:

Internet Explorer 5.01
Internet Explorer 5.5
Internet Explorer 6.0

风险:中

解决方案:

安装相应的补丁程序：
目前厂商已经发布了相关的补丁程序，请下载安装：
http://www.microsoft.com/windows/ie/downloads/critical/810847/default.asp
你也可以在我们的站点上找到相关的中文补丁：
IE5.01
IE5.5
IE6.0sp1
IE6.0 for XP



参考连接:

Postings by Andreas Sandblad (showHelp Shortcut vulnerability):
http://archives.neohapsis.com/archives/bugtraq/2002-11/0041.html
http://archives.neohapsis.com/archives/bugtraq/2002-11/0114.html

IE dialogArguments Cross-Zone Access Vulnerability:
http://online.securityfocus.com/bid/6205/info/

Previous CVA report: November 25, 2002 (see article #3):
http://www.sans.org/newsletters/cva/cva1_18.php