Microsoft IE 8...

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

BUGTRAQ ID: 42467 CVE(CAN) ID: CVE-2010-3324 Internet Explorer是Windows操作系统中默认捆绑的web浏览器。 IE8中对窗口对象提供了名为toStaticHTML的过滤方式。如果向这个函数传送了HTML字符串,在返回之前会删除所有可执行的脚本结构。例如,可使用toStaticHTML方式确保从postMessage调用所接收到的HTML无法执行脚本,但可利用基本格式: document.attachEvent('onmessage',function(e) { if (e.domain == 'weather.example.com') { spnWeather.innerHTML = window.toStaticHTML(e.data); } } 调用: window.toStaticHTML("This is some <b>HTML</b> with embedded script following... <script>alert('bang!');</script>!"); 会返回: This is some <b>HTML</b> with embedded script following... ! Microsoft Internet Explorer 8.0 Microsoft Windows SharePoint Services 3.0 sp2 Microsoft SharePoint Server 2007 SP2 Microsoft SharePoint Foundation 2010 Microsoft Office Web Apps Microsoft Groove Server 2010 临时解决方法: * 以纯文本读取邮件。 * 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件和活动脚本之前进行提示。 * 将Internet 和本地Intranet安全区域设置设为“高”,以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。 厂商补丁: Microsoft ---------...

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息