Internet Explorer是微软发布的非常流行的WEB浏览器。Internet Explorer没有正确地限制对文档帧的访问。攻击者可以用任意内容替换网页的帧的内容，Internet Explorer看起来仍在强制跨域安全模型限制恶意帧可对父文档所执行的操作。

　　发布日期：2008-06-27

　　更新日期：2008-07-03

　　受影响系统：

　　Microsoft Internet Explorer 8.0b

　　Microsoft Internet Explorer 7.0

　　Microsoft Internet Explorer 6.0

　　描述：

　　BUGTRAQ ID: 29986

　　Internet Explorer是微软发布的非常流行的WEB浏览器。

　　Internet Explorer没有正确地限制对文档帧的访问。攻击者可以用任意内容替换网页的帧的内容，Internet Explorer看起来仍在强制跨域安全模型限制恶意帧可对父文档所执行的操作。例如，其他域中的帧不可以访问父文档的cookies、HTML内容或其他帧特定的DOM组件，但组件是不受特定域约束的，如onmousedown事件。通过监控这个特殊的事件，IFRAME就可以从父文档捕获键盘输入，或执行其他恶意攻击。

　　临时解决方法：禁用活动脚本。

　　目前Microsoft还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

　　http://www.microsoft.com/windows/ie/default.asp

• 2008-08-20Microsoft IE HTML组件处理多个内存破坏漏洞
• 2008-08-18Microsoft Windows图形颜色管理组件漏洞
• 2008-05-235招远离IE层出不穷的漏洞避免遭受攻击
• 2008-04-22近期须及时下载安装IE漏洞补丁 严防恶意攻击
• 2008-09-02湖北省审计厅审计医保信息系统发现漏洞
• 2008-09-02苹果重视功能多于安全 iPhone漏洞迟迟不修复