[NEWS] Internet Explorer: Falla Cross-Zone Script - Hardware Upgrade Forum

		Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza
[NEWS] Internet Explorer: Falla Cross-Zone Script

Segna i forum come letti

	Microsoft Surface Pro 12 è il 2 in 1 più compatto e silenzioso Basato su piattaforma Qualcomm Snapdragon X Plus a 8 core, il nuovo Microsoft Surface Pro 12 è un notebook 2 in 1 molto compatto che punta sulla facilità di trasporto, sulla flessibilità d'uso nelle differenti configurazioni, sul funzionamento senza ventola e sull'ampia autonomia lontano dalla presa di corrente
	Recensione REDMAGIC Astra Gaming Tablet: che spettacolo di tablet! Il REDMAGIC Astra Gaming Tablet rappresenta una rivoluzione nel gaming portatile, combinando un display OLED da 9,06 pollici a 165Hz con il potente Snapdragon 8 Elite e un innovativo sistema di raffreddamento Liquid Metal 2.0 in un form factor compatto da 370 grammi. Si posiziona come il tablet gaming più completo della categoria, offrendo un'esperienza di gioco senza compromessi in mobilità.
	Dopo un mese, e 50 foto, cosa abbiamo capito della nuova Nintendo Switch 2 Dopo un mese di utilizzo intensivo e l'analisi di oltre 50 scatti, l'articolo offre una panoramica approfondita di Nintendo Switch 2. Vengono esaminate le caratteristiche che la definiscono, con un focus sulle nuove funzionalità e un riepilogo dettagliato delle specifiche tecniche che ne determinano le prestazioni

2 minuti: il tempo per scorrere le 25 offerte vere su Amazon per risparmiare un sacco di soldi

Mini LED TCL: confronto tra le migliori smart TV QLED in offerta. Quale serie scegliere tra Q10B, Q6C e C61KS?

Robot aspirapolvere: questi sono i più acquistati su Amazon e le differenze sono sorprendenti (anche nei prezzi)

Portatile tuttofare Lenovo Core i5/16GB RAM a 439€, ma a 35€ in più c'è una sorpresa: ecco 5 notebook in super saldo

Scende a 99€ il tablet 11" 2,4K con batteria da 8580mAh, insieme ad altri 2 modelli: non ci sono scuse per non comprarne uno

Amiga: quali erano i 10 giochi più belli

Driver più sicuri: Microsoft alza l'asticella con i requisiti per Windows 11 25H2

Ego Power+ ha la giusta accoppiata per la pulizia a batteria: prova aspiratutto e idropulitrice

Scompiglio nei listini Amazon: prezzi impossibili per TV OLED, Amazfit GTR 3 (69€), drone DJI 159€, robot e altre assurdità

Sotto i 105€ il robot Lefant che lava, aspira, mappa e obbedisce ad Alexa: ecco perché è un'offerta da non perdere

Mini proiettori smart in offerta: uno costa solo 71€, l'altro con base girevole a 360° e audio 3D a 99€! Ecco le differenze

Tutti gli articoli

Vai al Forum

Rispondi

17-05-2008, 09:12	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22111	[NEWS] Internet Explorer: Falla Cross-Zone Script 16 maggio 2008 alle 20.56 di netquik Il ricercatore di sicurezza israeliano Aviv Raff ha pubblicato giorni fa i dettagli riguardo ad una nuova vulnerabilità "zero-day" isolata nel browser Microsoft Internet Explorer. Secondo Raff, Internet Explorer è affetto da una vulnerabilità di Cross-Zone Scripting nella funzionalità "Stampa tabella dei collegamenti" che permette agli utenti di aggiungere ad un pagina web in stampa un'appendice che include una tabella di tutti i collegamenti presenti nella pagina stessa. Un attacker potrebbe facilmente aggiungere un collegamento modificato ad arte ad una pagina web (per esempio sul sito web personale, nei commenti dei blog, nelle reti sociali, su Wikipedia, etc.) in modo tale da essere in grado, quando l'utente tenta di stampare questa pagina con quella funzione, di eseguire codice arbitrario sulla macchina dell'utente (per esempio per ottenere il controllo completo). Le versioni di Internet Explorer affette da questa vulnerabilità includono Internet Explorer 7.0 e 8.0 Beta 1 su un sistema Windows XP completamente aggiornato. Windows Vista con la funzionalità UAC attivata risulta parzialmente affetto (con rischio limitato ad Information Leakage). Anche le versioni più vecchie di Internet Explorer potrebbero essere affette dalla medesima falla di sicurezza, avverte Raff. Dettagli tecnici sulla vulnerabilità: Quando un utente stampa una pagina web, Internet Explorer utilizza uno script di risorsa locale che genera nuovo codice HTML da mandare in stampa. Questo HTML include i seguenti elementi: Header, corpo della pagina web, Footer, e se abilitata, anche la tabella di collegamenti presenti nella pagina web. Sebbene lo script estragga solo il testo incluso nei dati interni del link, non esegue una validazione degli URL dei collegamenti, e li aggiunge al codice HTML, così come sono. Questo permette di iniettare uno script che sarà eseguito quanto il nuovo codice HTML viene generato. Aviv Raff commenta: "Come detto in un precedente intervento, la maggior parte delle risorse locali in Internet Explorer si eseguono ora nell'area Internet. Sfortunatamente lo script di risorsa locale di stampa si esegue nell'area locale (Local Machine Zone), e questo significa che qualsiasi script iniettato può eseguire codice arbitrario sulla macchina dell'utente". Raff ha pubblicato anche un "Proof of Concept" per dimostrare l'exploit della falla di sicurezza. Nel suo exploit (ora reso pubblico su milw0rm) il tentativo di stampa della tabella dei collegamenti porta all'esecuzione della Calcolatrice di Windows sul computer dell'utente. Il ricercatore ha contattato Microsoft riguardo la problematica 3 giorni fa. Microsoft ha affermato di star indagando sul problema e di star lavorando ad un fix appropriato. Fino al rilascio di una patch ufficiale per la vulnerabilità, Raff consiglia di non utilizzare la funzionalità "Stampa tabella dei collegamenti" quando si stampa una pagina web. Links per approfondimenti: Report @ Aviv Raff Blog Exploit @ milw0rm.com Fonte: Aviv Raff via Tweakness __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Rispondi

« Discussione precedente | Discussione successiva »

	Microsoft Surface Pro 12 è il 2 in 1 pi&u...
	Recensione REDMAGIC Astra Gaming Tablet: che spe...
	Dopo un mese, e 50 foto, cosa abbiamo capito del...
	Gigabyte Aero X16 Copilot+ PC: tanta potenza non...
	vivo X200 FE: il top di gamma si è fatto ...

	2 minuti: il tempo per scorrere le 25 of...
	Mini LED TCL: confronto tra le migliori ...
	Robot aspirapolvere: questi sono i più a...
	Portatile tuttofare Lenovo Core i5/16GB ...
	Scende a 99€ il tablet 11" 2,4K con...
	Amiga: quali erano i 10 giochi più belli
	Driver più sicuri: Microsoft alza...
	Ego Power+ ha la giusta accoppiata per l...
	Scompiglio nei listini Amazon: prezzi im...
	Sotto i 105€ il robot Lefant che lava, a...
	Mini proiettori smart in offerta: uno co...
	Smartwatch Amazfit in offerta: Balance o...
	Windows XP ritorna: ecco come usarlo sub...
	Arrow Lake in saldo: Intel taglia i prez...
	LG C4 da 55'' a 899€ è il top per...

	Chromium
	GPU-Z
	OCCT
	LibreOffice Portable
	Opera One Portable
	Opera One 106
	CCleaner Portable
	CCleaner Standard
	Cpu-Z
	Driver NVIDIA GeForce 546.65 WHQL
	SmartFTP
	Trillian
	Google Chrome Portable
	Google Chrome 120
	VirtualBox

Tutti gli articoli

Tutti i download

Strumenti
Mostra una versione stampabile Invia questa pagina per email

Regole
Non Puoi aprire nuove discussioni Non Puoi rispondere ai messaggi Non Puoi allegare file Non Puoi modificare i tuoi messaggi Il codice vB è On Le Faccine sono On Il codice [IMG] è On Il codice HTML è Off

Vai al Forum

Tutti gli orari sono GMT +1. Ora sono le: 21:55.

Microsoft Surface Pro 12 è il 2 in 1 più compatto e silenzioso Basato su piattaforma Qualcomm Snapdragon X Plus a 8 core, il nuovo Microsoft Surface Pro 12 è un notebook 2 in 1 molto compatto che punta sulla facilità di trasporto,...

Recensione REDMAGIC Astra Gaming Tablet: che spettacolo di tablet! Il REDMAGIC Astra Gaming Tablet rappresenta una rivoluzione nel gaming portatile, combinando un display OLED da 9,06 pollici a 165Hz con il potente Snapdragon 8...

Dopo un mese, e 50 foto, cosa abbiamo capito della nuova Nintendo Switch 2 Dopo un mese di utilizzo intensivo e l'analisi di oltre 50 scatti, l'articolo offre una panoramica approfondita di Nintendo Switch 2. Vengono esaminate le caratteristiche...

Fujifilm X-E5: la Fuji X che tutti gli appassionati volevano Dopo il fascino un po’ elitario della GFX100RF e le polemiche intorno a x Half, la nuova Fujifilm X-E5 riporta tutti d’accordo: una mirrorless compatta, leggera,...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

HPE Discover 2025: tra agenti intelligenti, infrastruttura AI-native e un futuro ibrido Edge9 ha seguito da vicino HPE Discover 2025 con accesso esclusivo a keynote e interviste. Dalla Sphere di Las Vegas, la visione di un’infrastruttura AI-native e...

Nuova Ford Capri elettrica, la super prova: in viaggio, in città e in autostrada Dopo diverse prove, da poche ore al volante, fino a un'intera settimana come prima auto, possiamo riportarvi tutti i dettagli e le impressioni sulla Ford Capri elettrica...

Roborock Saros Z70: un braccio meccanico per fare ordine in casa Dotato di tutte le ultime innovazioni in tema di aspirazione della polvere e pulizia dei pavimenti di casa, Roborock Saros Z70 integra un braccio meccanico che promette...

© 1997 - 2018 - Hardware Upgrade S.r.l. P.iva: 02560740124
Hardware Upgrade, testata giornalistica con registrazione tribunale di Varese, n. 879 del 30/07/2005. Iscrizione ROC n. 13366 - Ulteriori informazioni.
Per eventuali segnalazioni, inviare una mail all'indirizzo redazione@hwupgrade.it