CVE-2015-0072 — 神龙十问 AI 深度分析摘要

🚨 **本质**：IE 跨域策略执行错误。 💥 **后果**：导致 **特权提升**，攻击者可跨域窃取数据并执行任意代码。

🔍 **缺陷点**：跨域策略（Cross-domain policy）未正确强制实施。 ⚠️ **CWE**：数据中未提供具体 CWE ID。

📦 **组件**：Microsoft Internet Explorer (IE)。 📅 **版本**：**IE 9** 至 **IE 11** 版本均受影响。

🕵️ **黑客能力**： 1. 访问域中信息。 2. 将信息插入其他域。 3. 以 **当前用户权限** 执行任意代码。

🚪 **门槛**：中等。 👤 **认证**：无需认证，需 **诱使用户** 访问恶意网站即可触发。

💻 **PoC**：有现成代码。 🔗 参考：`github.com/dbellavista/uxss-poc`，用于获取目标网站 Cookie。

🔎 **自查**：检查浏览器是否为 **IE 9-11**。 📝 **特征**：是否存在跨域脚本注入导致的 Cookie 泄露风险。

🛡️ **官方修复**：数据中未提及具体补丁链接，但发布于 2015-02-07，建议检查微软官方安全更新。

⚠️ **临时规避**： 1. 避免访问不可信网站。 2. 考虑升级或迁移至非 IE 浏览器。 3. 启用更严格的跨域策略配置。

🔥 **优先级**：**高**。 💡 **见解**：涉及 **特权提升** 和 **任意代码执行**，危害极大，需立即关注。