Falla in Internet Explorer



Da www.upyou.it


” Una falla conosciuta da Maggio e considerata di gravità minore si
dimostra più pericolosa del privisto.


A far scattare l’allarme è stato un exploit pubblicato da Computer Terrorism,
società specializzata in sicurezza informatica, che sfrutta una falla già
conosciuta di Internet Explorer per eseguire codice malevolo all’insaputa
dell’utente.


La falla in questione è conosciuta fin dal mese di Maggio di quest’anno ma
era stata considerata dagli esperti come un problema secondario in quanto si
credeva che potesse solo essere utilizzata per causare dei crash del
browser.”


Da secunia.com


“The vulnerability is caused due to certain objects not being initialized
correctly when the “window()” function is used in conjunction with the “” event.
This can be exploited to execute arbitrary code on a vulnerable browser via some
specially crafted JavaScript code called directly when a site has been
loaded.

Successful exploitation requires that the user is e.g. tricked into visiting
a malicious website.


The vulnerability has been confirmed on a fully patched system with Internet
Explorer 6.0 and Microsoft Windows XP SP2, and Internet Explorer 6.0 and
Microsoft Windows 2000 SP4.


Solution:

Disable Active Scripting except for
trusted sites.”


Da QUESTO link è possibile vedere all’opera un ProofOfConcept dell’exploit, che esegue senza autorizzazione la calcolatrice di windows.


Microsoft ha pubblicato un documento che potete trovare qui.


Published: November 23 2005

  • category: