[NEWS] Internet Explorer 6 Window "location" Handling Vulnerability

c.m.g · 27-06-2008, 09:13

26 giugno 2008

La società di sicurezza Secunia riporta un Advisory (SA30857) in cui si spiega che è stata trovata una vulnerabilità in Microsoft Internet Explorer 6.x, giudicata dalla stessa come Moderately critical, il quale esporrebbe ad attacchi di tipo cross-domain scripting.

La vulnerabilità è causata da un errore di validazione dati in ingresso utente (input validation error) nelle proprietà delle finestre di "location" o "location.href". Questa tecnica può essere sfruttata da siti malevoli come, ad esempio, aprire un sito affidabile e eseguire codice script arbitrario nel contesto di una sessione di navigaziobne del browser fallato all'interno del medesimo sito.

La vulnerabilità è stata confermata in IE6 su Windows XP SP2 ma non si esclude che anche altre versioni siano affette.

Soluzione:
Aggiornare alla versione 7 che è immune da questo bug.

Falla scoperta da:
Ph4nt0m Security Team

Changelog:
2008-06-27: Added link to US-CERT.

Advisory d'origine:
Ph4nt0m Security Team (Chinese):
http://www.ph4nt0m.org-a.googlepages..._0x02_0x04.txt

Altre Referenze:
US-CERT VU#923508:
http://www.kb.cert.org/vuls/id/923508

Fonte: Secunia

c.m.g · 27-06-2008, 19:39

ripreso da Downloadblog:

http://www.downloadblog.it/post/7138...ernet-explorer

e security focus:

http://www.securityfocus.com/bid/29960/info

c.m.g · 01-07-2008, 20:32

anche webnews:

http://www.hwupgrade.it/forum/showth...1#post23133201

27-06-2008, 09:13	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	[NEWS] Internet Explorer 6 Window "location" Handling Vulnerability 26 giugno 2008 La società di sicurezza Secunia riporta un Advisory (SA30857) in cui si spiega che è stata trovata una vulnerabilità in Microsoft Internet Explorer 6.x, giudicata dalla stessa come Moderately critical, il quale esporrebbe ad attacchi di tipo cross-domain scripting. La vulnerabilità è causata da un errore di validazione dati in ingresso utente (input validation error) nelle proprietà delle finestre di "location" o "location.href". Questa tecnica può essere sfruttata da siti malevoli come, ad esempio, aprire un sito affidabile e eseguire codice script arbitrario nel contesto di una sessione di navigaziobne del browser fallato all'interno del medesimo sito. La vulnerabilità è stata confermata in IE6 su Windows XP SP2 ma non si esclude che anche altre versioni siano affette. Soluzione: Aggiornare alla versione 7 che è immune da questo bug. Falla scoperta da: Ph4nt0m Security Team Changelog: 2008-06-27: Added link to US-CERT. Advisory d'origine: Ph4nt0m Security Team (Chinese): http://www.ph4nt0m.org-a.googlepages..._0x02_0x04.txt Altre Referenze: US-CERT VU#923508: http://www.kb.cert.org/vuls/id/923508 Fonte: Secunia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 27-06-2008 alle 09:27.

27-06-2008, 19:39	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	ripreso da Downloadblog: http://www.downloadblog.it/post/7138...ernet-explorer e security focus: http://www.securityfocus.com/bid/29960/info __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 27-06-2008 alle 19:46.

01-07-2008, 20:32	#3
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	anche webnews: http://www.hwupgrade.it/forum/showth...1#post23133201 __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email