c.m.g
27-06-2008, 09:13
26 giugno 2008
La società di sicurezza Secunia (http://secunia.com) riporta un Advisory (SA30857 (http://secunia.com/advisories/30857/)) in cui si spiega che è stata trovata una vulnerabilità in Microsoft Internet Explorer 6.x, giudicata dalla stessa come Moderately critical, il quale esporrebbe ad attacchi di tipo cross-domain scripting.
La vulnerabilità è causata da un errore di validazione dati in ingresso utente (input validation error) nelle proprietà delle finestre di "location" o "location.href". Questa tecnica può essere sfruttata da siti malevoli come, ad esempio, aprire un sito affidabile e eseguire codice script arbitrario nel contesto di una sessione di navigaziobne del browser fallato all'interno del medesimo sito.
La vulnerabilità è stata confermata in IE6 su Windows XP SP2 ma non si esclude che anche altre versioni siano affette.
Soluzione:
Aggiornare alla versione 7 che è immune da questo bug.
Falla scoperta da:
Ph4nt0m Security Team
Changelog:
2008-06-27: Added link to US-CERT.
Advisory d'origine:
Ph4nt0m Security Team (Chinese):
http://www.ph4nt0m.org-a.googlepages.com/PSTZine_0x02_0x04.txt
Altre Referenze:
US-CERT VU#923508:
http://www.kb.cert.org/vuls/id/923508
Fonte: Secunia (http://secunia.com/advisories/30857/)
La società di sicurezza Secunia (http://secunia.com) riporta un Advisory (SA30857 (http://secunia.com/advisories/30857/)) in cui si spiega che è stata trovata una vulnerabilità in Microsoft Internet Explorer 6.x, giudicata dalla stessa come Moderately critical, il quale esporrebbe ad attacchi di tipo cross-domain scripting.
La vulnerabilità è causata da un errore di validazione dati in ingresso utente (input validation error) nelle proprietà delle finestre di "location" o "location.href". Questa tecnica può essere sfruttata da siti malevoli come, ad esempio, aprire un sito affidabile e eseguire codice script arbitrario nel contesto di una sessione di navigaziobne del browser fallato all'interno del medesimo sito.
La vulnerabilità è stata confermata in IE6 su Windows XP SP2 ma non si esclude che anche altre versioni siano affette.
Soluzione:
Aggiornare alla versione 7 che è immune da questo bug.
Falla scoperta da:
Ph4nt0m Security Team
Changelog:
2008-06-27: Added link to US-CERT.
Advisory d'origine:
Ph4nt0m Security Team (Chinese):
http://www.ph4nt0m.org-a.googlepages.com/PSTZine_0x02_0x04.txt
Altre Referenze:
US-CERT VU#923508:
http://www.kb.cert.org/vuls/id/923508
Fonte: Secunia (http://secunia.com/advisories/30857/)