[NEWS] Internet Explorer: Falla Cross-Zone Script - Hardware Upgrade Forum

		Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza
[NEWS] Internet Explorer: Falla Cross-Zone Script

Segna i forum come letti

	Recensione vivo X300 Pro: è ancora lui il re della fotografia mobile, peccato per la batteria vivo X300 Pro rappresenta un'evoluzione misurata della serie fotografica del produttore cinese, con un sistema di fotocamere migliorato, chipset Dimensity 9500 di ultima generazione e l'arrivo dell'interfaccia OriginOS 6 anche sui modelli internazionali. La scelta di limitare la batteria a 5.440mAh nel mercato europeo, rispetto ai 6.510mAh disponibili altrove, fa storcere un po' il naso
	Lenovo Legion Go 2: Ryzen Z2 Extreme e OLED 8,8'' per spingere gli handheld gaming PC al massimo Lenovo Legion Go 2 è la nuova handheld PC gaming con processore AMD Ryzen Z2 Extreme (8 core Zen 5/5c, GPU RDNA 3.5 16 CU) e schermo OLED 8,8" 1920x1200 144Hz. È dotata anche di controller rimovibili TrueStrike con joystick Hall effect e una batteria da 74Wh. Rispetto al dispositivo che l'ha preceduta, migliora ergonomia e prestazioni a basse risoluzioni, ma pesa 920g e costa 1.299€ nella configurazione con 32GB RAM/1TB SSD e Z2 Extreme
	AWS re:Invent 2025: inizia l'era dell'AI-as-a-Service con al centro gli agenti A re:Invent 2025, AWS mostra un’evoluzione profonda della propria strategia: l’IA diventa una piattaforma di servizi sempre più pronta all’uso, con agenti e modelli preconfigurati che accelerano lo sviluppo, mentre il cloud resta la base imprescindibile per governare dati, complessità e lock-in in uno scenario sempre più orientato all’hybrid cloud

Il nuovo OnePlus Nord 6 è vicino al debutto: ecco le possibili specifiche del futuro mid-range

Tesla svela i risultati del Q4: conferma il calo previsto, anche per l'intero anno

Nuova rimodulazione da Fastweb: fino a 3 euro in più al mese per i clienti di rete fissa

La NVIDIA RTX 5090 potrebbe presto costare fino a 5.000 dollari

ASUS non produrrà più smartphone: addio agli Zenfone e ai ROG Phone?

CoopVoce sta per lanciare il 5G: ecco quando arriva la prima offerta

Factorial, azienda di batterie allo stato solido, entra in borsa tramite fusione SPAC

Le specifiche fuori di testa della Yangwang U7: batteria enorme e più di 1.000 CV

I numeri incredibili di Xiaomi: nel 2025 ha consegnato 400.000 auto elettriche

In Cina è pronto il parco fotovoltaico offshore da 1 GW, è il primo al mondo

Neuralink accelera: produzione di massa degli impianti cerebrali prevista per il 2026

Tutti gli articoli

Vai al Forum

Rispondi

17-05-2008, 10:12	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Internet Explorer: Falla Cross-Zone Script 16 maggio 2008 alle 20.56 di netquik Il ricercatore di sicurezza israeliano Aviv Raff ha pubblicato giorni fa i dettagli riguardo ad una nuova vulnerabilità "zero-day" isolata nel browser Microsoft Internet Explorer. Secondo Raff, Internet Explorer è affetto da una vulnerabilità di Cross-Zone Scripting nella funzionalità "Stampa tabella dei collegamenti" che permette agli utenti di aggiungere ad un pagina web in stampa un'appendice che include una tabella di tutti i collegamenti presenti nella pagina stessa. Un attacker potrebbe facilmente aggiungere un collegamento modificato ad arte ad una pagina web (per esempio sul sito web personale, nei commenti dei blog, nelle reti sociali, su Wikipedia, etc.) in modo tale da essere in grado, quando l'utente tenta di stampare questa pagina con quella funzione, di eseguire codice arbitrario sulla macchina dell'utente (per esempio per ottenere il controllo completo). Le versioni di Internet Explorer affette da questa vulnerabilità includono Internet Explorer 7.0 e 8.0 Beta 1 su un sistema Windows XP completamente aggiornato. Windows Vista con la funzionalità UAC attivata risulta parzialmente affetto (con rischio limitato ad Information Leakage). Anche le versioni più vecchie di Internet Explorer potrebbero essere affette dalla medesima falla di sicurezza, avverte Raff. Dettagli tecnici sulla vulnerabilità: Quando un utente stampa una pagina web, Internet Explorer utilizza uno script di risorsa locale che genera nuovo codice HTML da mandare in stampa. Questo HTML include i seguenti elementi: Header, corpo della pagina web, Footer, e se abilitata, anche la tabella di collegamenti presenti nella pagina web. Sebbene lo script estragga solo il testo incluso nei dati interni del link, non esegue una validazione degli URL dei collegamenti, e li aggiunge al codice HTML, così come sono. Questo permette di iniettare uno script che sarà eseguito quanto il nuovo codice HTML viene generato. Aviv Raff commenta: "Come detto in un precedente intervento, la maggior parte delle risorse locali in Internet Explorer si eseguono ora nell'area Internet. Sfortunatamente lo script di risorsa locale di stampa si esegue nell'area locale (Local Machine Zone), e questo significa che qualsiasi script iniettato può eseguire codice arbitrario sulla macchina dell'utente". Raff ha pubblicato anche un "Proof of Concept" per dimostrare l'exploit della falla di sicurezza. Nel suo exploit (ora reso pubblico su milw0rm) il tentativo di stampa della tabella dei collegamenti porta all'esecuzione della Calcolatrice di Windows sul computer dell'utente. Il ricercatore ha contattato Microsoft riguardo la problematica 3 giorni fa. Microsoft ha affermato di star indagando sul problema e di star lavorando ad un fix appropriato. Fino al rilascio di una patch ufficiale per la vulnerabilità, Raff consiglia di non utilizzare la funzionalità "Stampa tabella dei collegamenti" quando si stampa una pagina web. Links per approfondimenti: Report @ Aviv Raff Blog Exploit @ milw0rm.com Fonte: Aviv Raff via Tweakness __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Rispondi

« Discussione precedente | Discussione successiva »

	Recensione vivo X300 Pro: è ancora lui il...
	Lenovo Legion Go 2: Ryzen Z2 Extreme e OLED 8,8'...
	AWS re:Invent 2025: inizia l'era dell'AI-as-a-Se...
	Cos'è la bolla dell'IA e perché se...
	BOOX Palma 2 Pro in prova: l'e-reader diventa a ...

	Il nuovo OnePlus Nord 6 è vicino al debu...
	Tesla svela i risultati del Q4: conferma...
	Nuova rimodulazione da Fastweb: fino a 3...
	La NVIDIA RTX 5090 potrebbe presto costa...
	ASUS non produrrà più smar...
	CoopVoce sta per lanciare il 5G: ecco qu...
	Factorial, azienda di batterie allo stat...
	Le specifiche fuori di testa della Yangw...
	I numeri incredibili di Xiaomi: nel 2025...
	In Cina è pronto il parco fotovol...
	Neuralink accelera: produzione di massa ...
	Starlink abbassa l'orbita di migliaia di...
	Dal MIT una nuova batteria per auto elet...
	Adam Mosseri parla di IA su Instagram: l...
	Suonerie personalizzate e Tone Store: il...

	Chromium
	GPU-Z
	OCCT
	LibreOffice Portable
	Opera One Portable
	Opera One 106
	CCleaner Portable
	CCleaner Standard
	Cpu-Z
	Driver NVIDIA GeForce 546.65 WHQL
	SmartFTP
	Trillian
	Google Chrome Portable
	Google Chrome 120
	VirtualBox

Tutti gli articoli

Tutti i download

Strumenti
Mostra una versione stampabile Invia questa pagina per email

Regole
Non Puoi aprire nuove discussioni Non Puoi rispondere ai messaggi Non Puoi allegare file Non Puoi modificare i tuoi messaggi Il codice vB è On Le Faccine sono On Il codice [IMG] è On Il codice HTML è Off

Vai al Forum

Tutti gli orari sono GMT +1. Ora sono le: 08:30.

FRITZ!Repeater 1700 estende la rete super-veloce Wi-Fi 7 FRITZ!Repeater 1700 porta il Wi-Fi 7 dual-band nelle case connesse. Mette a disposizione fino a 2.880 Mbit/s su 5 GHz e 688 Mbit/s su 2,4 GHz, integrazione Mesh...

Recensione vivo X300 Pro: è ancora lui il re della fotografia mobile, peccato per la batteria vivo X300 Pro rappresenta un'evoluzione misurata della serie fotografica del produttore cinese, con un sistema di fotocamere migliorato, chipset Dimensity 9500 di...

Lenovo Legion Go 2: Ryzen Z2 Extreme e OLED 8,8'' per spingere gli handheld gaming PC al massimo Lenovo Legion Go 2 è la nuova handheld PC gaming con processore AMD Ryzen Z2 Extreme (8 core Zen 5/5c, GPU RDNA 3.5 16 CU) e schermo OLED 8,8" 1920x1200 144Hz. È...

Sony Alpha 7 V, anteprima e novità della nuova 30fps, che tende la mano anche ai creator Dopo oltre 4 anni si rinnova la serie Sony Alpha 7 con la quinta generazione, che porta in dote veramente tante novità a partire dai 30fps e dal nuovo sensore partially...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

AWS re:Invent 2025: inizia l'era dell'AI-as-a-Service con al centro gli agenti A re:Invent 2025, AWS mostra un’evoluzione profonda della propria strategia: l’IA diventa una piattaforma di servizi sempre più pronta all’uso, con agenti e modelli...

Polestar 3 Performance, test drive: comodità e potenza possono convivere Abbiamo passato diversi giorni alla guida di Polestar 3, usata in tutti i contesti. Come auto di tutti i giorni è comodissima, ma se si libera tutta la potenza è...

Mova Z60 Ultra Roller Complete: pulisce bene grazie anche all'IA Rullo di lavaggio dei pavimenti abbinato a un potente motore da 28.000 Pa e a bracci esterni che si estendono: queste, e molte altre, le caratteristiche tecniche...

© 1997 - 2018 - Hardware Upgrade S.r.l. P.iva: 02560740124
Hardware Upgrade, testata giornalistica con registrazione tribunale di Varese, n. 879 del 30/07/2005. Iscrizione ROC n. 13366 - Ulteriori informazioni.
Per eventuali segnalazioni, inviare una mail all'indirizzo [email protected]