[NEWS] Internet Explorer: Falla Cross-Zone Script - Hardware Upgrade Forum

		Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza
[NEWS] Internet Explorer: Falla Cross-Zone Script

Segna i forum come letti

	Recensione Xiaomi Pad 8 Pro: potenza bruta e HyperOS 3 per sfidare la fascia alta Xiaomi Pad 8 Pro adotta il potente Snapdragon 8 Elite all'interno di un corpo con spessore di soli 5,75 mm e pannello LCD a 144Hz flicker-free, per un tablet che può essere utilizzato con accessori dedicati di altissima qualità. Fra le caratteristiche esclusive, soprattutto per chi intende usarlo con la tastiera ufficiale, c'è la modalità Workstation di HyperOS 3, che trasforma Android in un sistema operativo con interfaccia a finestre
	NZXT H9 Flow RGB+, Kraken Elite 420 e F140X: abbiamo provato il tris d'assi di NZXT Nelle ultime settimane abbiamo provato tre delle proposte top di gamma di NZXT nelle categorie case, dissipatori e ventole. Rispettivamente, parliamo dell'H9 Flow RGB+, Kraken Elite 420 e F140X. Si tratta, chiaramente, di prodotti di fascia alta che si rivolgono agli utenti DIY che desiderano il massimo per la propria build. Tuttavia, mentre i primi due dispositivi mantengono questa direzione, le ventole purtroppo hanno mostrato qualche tallone d'Achille di troppo
	ASUS ROG Swift OLED PG34WCDN recensione: il primo QD-OLED RGB da 360 Hz ASUS ROG Swift OLED PG34WCDN è il primo monitor gaming con pannello QD-OLED Gen 5 a layout RGB Stripe Pixel e 360 Hz su 34 pollici: lo abbiamo misurato con sonde colorimetriche e NVIDIA LDAT. Ecco tutti i dati

Unitree H1: il robot umanoide vicino al record mondiale dei 100 metri

GPU esterne: PCI-SIG porta le prestazioni vicine al 100%, ma il collegamento costa più di una RTX 5090

Per Lenovo i giocatori sono ricchi: Legion Go 2 arriva quasi a raddoppiare il prezzo

Polaroid lancia la nuova stampante Hi-Print 3x3 pensata per le stampe quadrate

Da Kyndryl un gemello digitale per il digital workplace

La Cina si prepara a una nuova missione sulla Luna: Chang'e-7 avrà un rover e un hopper oltre a lander e orbiter

Climatizzatore Inverter A++ con Wi-Fi a 289,90€: le specifiche tecniche del COMFEE' TROPICAL 12K in offerta su Amazon

NZXT Flex, lo 'scandalo' del PC gaming a noleggio si chiude con un accordo da 3,45 milioni di dollari

Robot lavavetri in offerta su Amazon: ECOVACS WINBOT W3 OMNI, 16 ugelli e niente stracci da sciacquare

Attenti a questo update fake di Windows 11: bypassa l'antivirus e svuota i conti

NIO chiede la standardizzazione di batterie e chip nelle auto elettriche: risparmi possibili per 12 miliardi di euro

Tutti gli articoli

Vai al Forum

Rispondi

17-05-2008, 09:12	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Internet Explorer: Falla Cross-Zone Script 16 maggio 2008 alle 20.56 di netquik Il ricercatore di sicurezza israeliano Aviv Raff ha pubblicato giorni fa i dettagli riguardo ad una nuova vulnerabilità "zero-day" isolata nel browser Microsoft Internet Explorer. Secondo Raff, Internet Explorer è affetto da una vulnerabilità di Cross-Zone Scripting nella funzionalità "Stampa tabella dei collegamenti" che permette agli utenti di aggiungere ad un pagina web in stampa un'appendice che include una tabella di tutti i collegamenti presenti nella pagina stessa. Un attacker potrebbe facilmente aggiungere un collegamento modificato ad arte ad una pagina web (per esempio sul sito web personale, nei commenti dei blog, nelle reti sociali, su Wikipedia, etc.) in modo tale da essere in grado, quando l'utente tenta di stampare questa pagina con quella funzione, di eseguire codice arbitrario sulla macchina dell'utente (per esempio per ottenere il controllo completo). Le versioni di Internet Explorer affette da questa vulnerabilità includono Internet Explorer 7.0 e 8.0 Beta 1 su un sistema Windows XP completamente aggiornato. Windows Vista con la funzionalità UAC attivata risulta parzialmente affetto (con rischio limitato ad Information Leakage). Anche le versioni più vecchie di Internet Explorer potrebbero essere affette dalla medesima falla di sicurezza, avverte Raff. Dettagli tecnici sulla vulnerabilità: Quando un utente stampa una pagina web, Internet Explorer utilizza uno script di risorsa locale che genera nuovo codice HTML da mandare in stampa. Questo HTML include i seguenti elementi: Header, corpo della pagina web, Footer, e se abilitata, anche la tabella di collegamenti presenti nella pagina web. Sebbene lo script estragga solo il testo incluso nei dati interni del link, non esegue una validazione degli URL dei collegamenti, e li aggiunge al codice HTML, così come sono. Questo permette di iniettare uno script che sarà eseguito quanto il nuovo codice HTML viene generato. Aviv Raff commenta: "Come detto in un precedente intervento, la maggior parte delle risorse locali in Internet Explorer si eseguono ora nell'area Internet. Sfortunatamente lo script di risorsa locale di stampa si esegue nell'area locale (Local Machine Zone), e questo significa che qualsiasi script iniettato può eseguire codice arbitrario sulla macchina dell'utente". Raff ha pubblicato anche un "Proof of Concept" per dimostrare l'exploit della falla di sicurezza. Nel suo exploit (ora reso pubblico su milw0rm) il tentativo di stampa della tabella dei collegamenti porta all'esecuzione della Calcolatrice di Windows sul computer dell'utente. Il ricercatore ha contattato Microsoft riguardo la problematica 3 giorni fa. Microsoft ha affermato di star indagando sul problema e di star lavorando ad un fix appropriato. Fino al rilascio di una patch ufficiale per la vulnerabilità, Raff consiglia di non utilizzare la funzionalità "Stampa tabella dei collegamenti" quando si stampa una pagina web. Links per approfondimenti: Report @ Aviv Raff Blog Exploit @ milw0rm.com Fonte: Aviv Raff via Tweakness __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Rispondi

« Discussione precedente | Discussione successiva »

	Recensione Xiaomi Pad 8 Pro: potenza bruta e Hyp...
	NZXT H9 Flow RGB+, Kraken Elite 420 e F140X: abb...
	ASUS ROG Swift OLED PG34WCDN recensione: il prim...
	Recensione Nothing Phone (4a) Pro: finalmente in...
	WoW: Midnight, Blizzard mette il primo, storico ...

	Unitree H1: il robot umanoide vicino al ...
	GPU esterne: PCI-SIG porta le prestazion...
	Per Lenovo i giocatori sono ricchi: Legi...
	Polaroid lancia la nuova stampante Hi-Pr...
	Da Kyndryl un gemello digitale per il di...
	La Cina si prepara a una nuova missione ...
	Climatizzatore Inverter A++ con Wi-Fi a ...
	NZXT Flex, lo 'scandalo' del PC gaming a...
	Robot lavavetri in offerta su Amazon: EC...
	Attenti a questo update fake di Windows ...
	NIO chiede la standardizzazione di batte...
	Da 80 mesi-uomo a poche ore: l'AI cambia...
	In 2 settimane senza social il cervello ...
	Amazon top 7 di oggi: 2 portatili intere...
	SteamGPT trapela dal client Steam: ecco ...

	Chromium
	GPU-Z
	OCCT
	LibreOffice Portable
	Opera One Portable
	Opera One 106
	CCleaner Portable
	CCleaner Standard
	Cpu-Z
	Driver NVIDIA GeForce 546.65 WHQL
	SmartFTP
	Trillian
	Google Chrome Portable
	Google Chrome 120
	VirtualBox

Tutti gli articoli

Tutti i download

Strumenti
Mostra una versione stampabile Invia questa pagina per email

Regole
Non Puoi aprire nuove discussioni Non Puoi rispondere ai messaggi Non Puoi allegare file Non Puoi modificare i tuoi messaggi Il codice vB è On Le Faccine sono On Il codice [IMG] è On Il codice HTML è Off

Vai al Forum

Tutti gli orari sono GMT +1. Ora sono le: 22:53.

NZXT H9 Flow RGB+, Kraken Elite 420 e F140X: abbiamo provato il tris d'assi di NZXT Nelle ultime settimane abbiamo provato tre delle proposte top di gamma di NZXT nelle categorie case, dissipatori e ventole. Rispettivamente, parliamo dell'H9 Flow...

Recensione Xiaomi Pad 8 Pro: potenza bruta e HyperOS 3 per sfidare la fascia alta Xiaomi Pad 8 Pro adotta il potente Snapdragon 8 Elite all'interno di un corpo con spessore di soli 5,75 mm e pannello LCD a 144Hz flicker-free, per un tablet che...

WoW: Midnight, Blizzard mette il primo, storico mattone per l'housing e molto altro Con Midnight, Blizzard tenta il colpaccio: il player housing sbarca finalmente su Azeroth insieme a una Quel'Thalas ricostruita da zero. Tra il dramma della famiglia...

DJI RS 5: stabilizzazione e tracking intelligente per ogni videomaker Analizziamo nel dettaglio DJI RS 5, l'ultimo arrivato della famiglia Ronin progettato per videomaker solisti e piccoli studi. Tra tracciamento intelligente migliorato...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

HP Imagine 2026: abbiamo visto HP IQ all’opera, ecco cosa può (e non può) fare A New York HP ha messo al centro della scena HP IQ, la piattaforma di IA locale da 20 miliardi di parametri. L’abbiamo vista in funzione: è uno strumento che funziona,...

Zeekr X e 7X provate: prezzi, autonomia fino a 615 km e ricarica in 13 minuti Zeekr sbarca ufficialmente in Italia con tre modelli elettrici premium, X, 7X e 001, distribuiti da Jameel Motors su una rete di 52 punti vendita già attivi. La...

Ecovacs Goat O1200 LiDAR Pro: la prova del robot tagliaerba con tagliabordi integrato Nuova frontiera per i robot tagliaerba, con Ecovacs GOAT O1200 LiDAR Pro che riconosce l'ambiente in maniera perfetta, grazie a due sensori LiDAR, e dopo la falciatura...

© 1997 - 2018 - Hardware Upgrade S.r.l. P.iva: 02560740124
Hardware Upgrade, testata giornalistica con registrazione tribunale di Varese, n. 879 del 30/07/2005. Iscrizione ROC n. 13366 - Ulteriori informazioni.
Per eventuali segnalazioni, inviare una mail all'indirizzo [email protected]