VULHUB ™

Microsoft IE是与Windows系统捆绑在一起的流行的Web浏览器。 Microsoft IEGetObject()\'\'JScript函数存在输入验证漏洞，攻击者可能利用这个漏洞读取系统上任意已知文件名的文件。 当ActiveX控件\'\'htmlfile.\'\'调用\'\'GetObject()\'\'JScript函数时，如果URL中包含以\"../\"开头的字串，则可能访问到主机上Web目录之外的文件。通过在恶意网页上放置这种构造的URL，攻击者可以访问到客户端驱动器上任意已知文件名的文件。

Microsoft IE是与Windows系统捆绑在一起的流行的Web浏览器。 Microsoft IEGetObject()\'\'JScript函数存在输入验证漏洞，攻击者可能利用这个漏洞读取系统上任意已知文件名的文件。 当ActiveX控件\'\'htmlfile.\'\'调用\'\'GetObject()\'\'JScript函数时，如果URL中包含以\"../\"开头的字串，则可能访问到主机上Web目录之外的文件。通过在恶意网页上放置这种构造的URL，攻击者可以访问到客户端驱动器上任意已知文件名的文件。