VULHUB ™

Microsoft Internet Explorer是一款由Microsoft公司开发的流行WEB浏览器。 MSIE 6.0版本对\'\'/\'\'的HTTP编码处理不正确，远程攻击者可以利用这个漏洞进行域名欺骗等攻击。 MSIE 6对使用以HTTP编码的\'\'/\'\'字符(2F=hex$(asc(\'\'/\'\')))解析不正确，攻击者可以构建类似如下的URL： 2F@clik.to/liudieyu\" target=\"_blank\"＞http：//www.yahoo.com\\%2F@clik.to/liudieyu IE URI解析器解析到\'\'\\%2F\'\'字符的时候会错误的判断为域名结束，而没有考虑是否\'\'\\%2F\'\'字符属于用户名/密码字段，结果造成HTTP用户名\"www.yahoo.com\"匹配为子窗口域(window.open(\"www.yahoo.com\"))，并授权访问，这可造成多个安全相关问题。 攻击者可以构建URI包含目标站点为用户名的页面，并诱使用户点击。

Microsoft Internet Explorer是一款由Microsoft公司开发的流行WEB浏览器。 MSIE 6.0版本对\'\'/\'\'的HTTP编码处理不正确，远程攻击者可以利用这个漏洞进行域名欺骗等攻击。 MSIE 6对使用以HTTP编码的\'\'/\'\'字符(2F=hex$(asc(\'\'/\'\')))解析不正确，攻击者可以构建类似如下的URL： 2F@clik.to/liudieyu\" target=\"_blank\"＞http：//www.yahoo.com\\%2F@clik.to/liudieyu IE URI解析器解析到\'\'\\%2F\'\'字符的时候会错误的判断为域名结束，而没有考虑是否\'\'\\%2F\'\'字符属于用户名/密码字段，结果造成HTTP用户名\"www.yahoo.com\"匹配为子窗口域(window.open(\"www.yahoo.com\"))，并授权访问，这可造成多个安全相关问题。 攻击者可以构建URI包含目标站点为用户名的页面，并诱使用户点击。