Lucene search
K
Database
Vendors
Products
Years
CVSS
Scanner
Agent Scanning
API Scanning
Manual Audit
Perimeter Scanner
Scanning
Projects
Email
Webhook
Plugins
Resources
Documents
Blog
Glossary
FAQ
Pricing
Contacts
About Us
Partners
Branding Guideline
securityvulnsSecurityvulnsSECURITYVULNS:DOC:21268
HistoryFeb 01, 2009 - 12:00 a.m.

Charset Inheritance vulnerability in Internet Explorer 6 и Google Chrome

2009-02-0100:00:00
vulners.com
8
JSON

Здравствуйте 3APA3A!

Сообщаю вам о найденной мною Charset Inheritance уязвимости в Internet Explorer 6 и Google Chrome. В дополнение к ранее опубликованной информации (http://securityvulns.ru/news/Browsers/Charset/XSS.html) о данной уязвимости в других браузерах.

Данная уязвимость в браузерах, которая позволяет проводить XSS атаки (в частности, с использованием UTF-7 кодировки), также имеет место в других браузерах, кроме упомянутых Стефаном. Как он сообщил в 2007 году, уязвимыми были браузеры Mozilla Firefox 1.5, Firefox 2.0 (Firefox <= 2.0.0.1), Microsoft Internet Explorer 7 и Opera 9. Замечу, что Стефан упоминал и про автодетект в IE6, но подчеркнул лишь, что уязвим IE7.

Уязвимы также браузеры:

  • Internet Explorer 6 (6.0.2900.2180) и предыдущие версии, с включенным автодетектом кодовой страницы.
  • Google Chrome 1.0.154.43 и предыдущие версии.

Замечу, что уязвимость работает в Chrome лишь с одного домена - Same Domain Charset Inheritance уязвимость. Поэтому для атаки нужно иметь возможность разместить html-код с фреймом/ифреймом на том самом домене (например, через аплоадер).

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/2844/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua

JSON