VULHUB ™

Microsoft Internet Explorer是微软公司开发和维护的流行的WEB浏览器。 MSIE没有充分检查所有帧属性的访问控制权限，远程攻击者可以利用这个漏洞未授权访问其他不同域中帧/子帧的文档对象模型(Document Object Model)。 ＜frame＞和＜iframe＞元素可以把URL包含在其他域或者协议中，因此具有严格的安全规则，防止其他域中的帧访问不同域中的内容和信息。MSIE对通过交叉域访问\'\'document\'\'属性具有严格的安全检查规则，但是访问\'\'Document\'\'没有进行充分检查。 一般情况下，使用\"oElement.document\"可以提供拥有当前元素文档的引用，这在＜frame＞和＜iframe＞中都可相同应用，但是，当使用\"oIFrameElement.Document\"时，返回包含在＜frame＞中的文档却没有充分检查它是否属于不同领域。这就导致自由和完全访问帧的文档对象模型，允许攻击者窃取任意站点的Cookie信息，访问任意站点的伪造的内容，读取本地文件和在客户机上在\"我的电脑\"域中执行任意程序。 攻击者可以通过构建恶意WEB页面或者通过HTML形式的电子邮件来触发这个漏洞。

Microsoft Internet Explorer是微软公司开发和维护的流行的WEB浏览器。 MSIE没有充分检查所有帧属性的访问控制权限，远程攻击者可以利用这个漏洞未授权访问其他不同域中帧/子帧的文档对象模型(Document Object Model)。 ＜frame＞和＜iframe＞元素可以把URL包含在其他域或者协议中，因此具有严格的安全规则，防止其他域中的帧访问不同域中的内容和信息。MSIE对通过交叉域访问\'\'document\'\'属性具有严格的安全检查规则，但是访问\'\'Document\'\'没有进行充分检查。 一般情况下，使用\"oElement.document\"可以提供拥有当前元素文档的引用，这在＜frame＞和＜iframe＞中都可相同应用，但是，当使用\"oIFrameElement.Document\"时，返回包含在＜frame＞中的文档却没有充分检查它是否属于不同领域。这就导致自由和完全访问帧的文档对象模型，允许攻击者窃取任意站点的Cookie信息，访问任意站点的伪造的内容，读取本地文件和在客户机上在\"我的电脑\"域中执行任意程序。 攻击者可以通过构建恶意WEB页面或者通过HTML形式的电子邮件来触发这个漏洞。