VULHUB ™

Microsoft Internet Explorer是一款流行的WEB浏览器。 Microsoft Internet Explorer包含的navcancl.htm存在输入验证问题，远程攻击者可以利用漏洞进行跨站脚本攻击，可以获得敏感信息。 当特定页面取消时，页面URL会提供给navcancl.htm处理，类似res://ieframe.dll/navcancl.htm#http://www.site.com，navcancl.htm然后在“Refresh the page.”中生成脚本，当用户点链接时重新装载提供的站点，但是由于输入验证问题，可导致插入恶意脚本到提供的链接中，然后在“Refresh the page.”操作时执行。虽然Internet Explorer现在很多本地资源(包括navcancl.htm)运行在“Internet Zone”中，可导致不能利用为代码执行。但是由于IE7的设计错误，浏览器会自动删除本地资源的URL路径，因此可以进行恶意页面的钓鱼攻击。 Microsoft Internet Explorer 7.0 + Microsoft Windows Vista Ultimate + Microsoft Windows Vista Home Premium + Microsoft Windows Vista Home Basic + Microsoft Windows Vista Enterprise + Microsoft Windows Vista Business + Microsoft Windows Vista 0 + Microsoft Windows Vista 0 目前没有解决方案提供： <a href="http://www.microsoft.com/ie/" target="_blank">http://www.microsoft.com/ie/</a>

Microsoft Internet Explorer是一款流行的WEB浏览器。 Microsoft Internet Explorer包含的navcancl.htm存在输入验证问题，远程攻击者可以利用漏洞进行跨站脚本攻击，可以获得敏感信息。 当特定页面取消时，页面URL会提供给navcancl.htm处理，类似res://ieframe.dll/navcancl.htm#http://www.site.com，navcancl.htm然后在“Refresh the page.”中生成脚本，当用户点链接时重新装载提供的站点，但是由于输入验证问题，可导致插入恶意脚本到提供的链接中，然后在“Refresh the page.”操作时执行。虽然Internet Explorer现在很多本地资源(包括navcancl.htm)运行在“Internet Zone”中，可导致不能利用为代码执行。但是由于IE7的设计错误，浏览器会自动删除本地资源的URL路径，因此可以进行恶意页面的钓鱼攻击。 Microsoft Internet Explorer 7.0 + Microsoft Windows Vista Ultimate + Microsoft Windows Vista Home Premium + Microsoft Windows Vista Home Basic + Microsoft Windows Vista Enterprise + Microsoft Windows Vista Business + Microsoft Windows Vista 0 + Microsoft Windows Vista 0 目前没有解决方案提供： <a href="http://www.microsoft.com/ie/" target="_blank">http://www.microsoft.com/ie/</a>