[NEWS] Internet Explorer: Falla Cross-Zone Script - Hardware Upgrade Forum

		Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza
[NEWS] Internet Explorer: Falla Cross-Zone Script

Segna i forum come letti

	Gigabyte MO32U24 OLED: il 4K a 240Hz su un pannello OLED ideale per il gaming Pannello QD-OLED da 32 pollici con risoluzione 4K, frequenza di aggiornamento a 240Hz e tempi di risposta rapidissimi: il Gigabyte MO32U24 evolve il progetto del suo predecessore MO32U e alza ulteriormente l'asticella delle prestazioni. È ancora una volta un monitor indirizzato ai giocatori più esigenti
	Recensione realme 16 5G: lo smartphone con Selfie Mirror ha una batteria da 6550mAh realme 16 5G è un nuovo smartphone con sensore Sony IMX 852 da 50MP sul retro e uno specchio selfie fisico integrato nella camera bar, una prima nel segmento di mercato. Batteria da 6550mAh in un corpo da 8,1mm e 183g, certificazione IP69K e ricarica da 45W completano un pacchetto aggressivo per la fascia media, per uno dei prodotti più interessanti del produttore sul piano commerciale
	Come rispettare tutte le nuove regole per i monopattini elettrici? La guida per non rischiare sanzioni Sono ormai definitive le nuove norme del Codice della Strada per i monopattini elettrici. Non solo targa e assicurazione, le regole sono tante e riguardano diversi aspetti, vi spieghiamo come evitare sanzioni che possono essere salate

OnePlus anticipa l'arrivo di nuove cuffie true wireless: Nord Buds 4 in vista

YouTube da record con 2,7 miliardi di utenti, ma Netflix resta la regina degli abbonamenti

Samsung Galaxy Watch Ultra 2, l'autonomia non sarà un problema: +35% per la capacità della batteria

Deezer ha rilasciato un tool gratuito per verificare se un brano è stato generato dall'IA

AMD Ryzen 9 7950X3D danneggiato: approvato l'RMA solo dopo l'intervento dei media

I Mac con chip Apple Silicon hanno meno problemi hardware dei modelli con chip Intel

Scandalo nel Regno Unito: agente sotto indagine, usava l'intelligenza artificiale per creare prove

TOP 15 offerte Amazon del weekend: 10 tutte nuove con mini PC, portatili, Apple, Samsung e super accessori (al 2, 9 e 15)

DJI Neo Fly More Combo a 245€: il mini drone 4K senza patentino più completo del momento, mentre la versione base scende a 129€

JBL Live Beam 3 a 129€ invece di 199€ su Amazon: ANC adattiva, custodia smart e 48 ore di autonomia

L'FBI ha costruito una città segreta per simulare cyberattacchi devastanti

Tutti gli articoli

Vai al Forum

Rispondi

17-05-2008, 09:12	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Internet Explorer: Falla Cross-Zone Script 16 maggio 2008 alle 20.56 di netquik Il ricercatore di sicurezza israeliano Aviv Raff ha pubblicato giorni fa i dettagli riguardo ad una nuova vulnerabilità "zero-day" isolata nel browser Microsoft Internet Explorer. Secondo Raff, Internet Explorer è affetto da una vulnerabilità di Cross-Zone Scripting nella funzionalità "Stampa tabella dei collegamenti" che permette agli utenti di aggiungere ad un pagina web in stampa un'appendice che include una tabella di tutti i collegamenti presenti nella pagina stessa. Un attacker potrebbe facilmente aggiungere un collegamento modificato ad arte ad una pagina web (per esempio sul sito web personale, nei commenti dei blog, nelle reti sociali, su Wikipedia, etc.) in modo tale da essere in grado, quando l'utente tenta di stampare questa pagina con quella funzione, di eseguire codice arbitrario sulla macchina dell'utente (per esempio per ottenere il controllo completo). Le versioni di Internet Explorer affette da questa vulnerabilità includono Internet Explorer 7.0 e 8.0 Beta 1 su un sistema Windows XP completamente aggiornato. Windows Vista con la funzionalità UAC attivata risulta parzialmente affetto (con rischio limitato ad Information Leakage). Anche le versioni più vecchie di Internet Explorer potrebbero essere affette dalla medesima falla di sicurezza, avverte Raff. Dettagli tecnici sulla vulnerabilità: Quando un utente stampa una pagina web, Internet Explorer utilizza uno script di risorsa locale che genera nuovo codice HTML da mandare in stampa. Questo HTML include i seguenti elementi: Header, corpo della pagina web, Footer, e se abilitata, anche la tabella di collegamenti presenti nella pagina web. Sebbene lo script estragga solo il testo incluso nei dati interni del link, non esegue una validazione degli URL dei collegamenti, e li aggiunge al codice HTML, così come sono. Questo permette di iniettare uno script che sarà eseguito quanto il nuovo codice HTML viene generato. Aviv Raff commenta: "Come detto in un precedente intervento, la maggior parte delle risorse locali in Internet Explorer si eseguono ora nell'area Internet. Sfortunatamente lo script di risorsa locale di stampa si esegue nell'area locale (Local Machine Zone), e questo significa che qualsiasi script iniettato può eseguire codice arbitrario sulla macchina dell'utente". Raff ha pubblicato anche un "Proof of Concept" per dimostrare l'exploit della falla di sicurezza. Nel suo exploit (ora reso pubblico su milw0rm) il tentativo di stampa della tabella dei collegamenti porta all'esecuzione della Calcolatrice di Windows sul computer dell'utente. Il ricercatore ha contattato Microsoft riguardo la problematica 3 giorni fa. Microsoft ha affermato di star indagando sul problema e di star lavorando ad un fix appropriato. Fino al rilascio di una patch ufficiale per la vulnerabilità, Raff consiglia di non utilizzare la funzionalità "Stampa tabella dei collegamenti" quando si stampa una pagina web. Links per approfondimenti: Report @ Aviv Raff Blog Exploit @ milw0rm.com Fonte: Aviv Raff via Tweakness __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Rispondi

« Discussione precedente | Discussione successiva »

	Gigabyte MO32U24 OLED: il 4K a 240Hz su un panne...
	Recensione realme 16 5G: lo smartphone con Selfi...
	Come rispettare tutte le nuove regole per i mono...
	DLSS 4.5: con Dynamic Frame Generation e MFG 6X ...
	Plaud NotePin S, il registratore IA si fa indoss...

	OnePlus anticipa l'arrivo di nuove cuffi...
	YouTube da record con 2,7 miliardi di ut...
	Samsung Galaxy Watch Ultra 2, l'autonomi...
	Deezer ha rilasciato un tool gratuito pe...
	AMD Ryzen 9 7950X3D danneggiato: approva...
	I Mac con chip Apple Silicon hanno meno ...
	Scandalo nel Regno Unito: agente sotto i...
	TOP 15 offerte Amazon del weekend: 10 tu...
	DJI Neo Fly More Combo a 245€: il mini d...
	JBL Live Beam 3 a 129€ invece di 199€ su...
	L'FBI ha costruito una città segr...
	AMD usa il MacBook Neo come bersaglio in...
	Intel prepara 'Raptor Lake Next'? Nel 20...
	Una telefonata del CEO di Amazon dietro ...
	Grazie a GLIMPSE-17775 il telescopio spa...

	Chromium
	GPU-Z
	OCCT
	LibreOffice Portable
	Opera One Portable
	Opera One 106
	CCleaner Portable
	CCleaner Standard
	Cpu-Z
	Driver NVIDIA GeForce 546.65 WHQL
	SmartFTP
	Trillian
	Google Chrome Portable
	Google Chrome 120
	VirtualBox

Tutti gli articoli

Tutti i download

Strumenti
Mostra una versione stampabile Invia questa pagina per email

Regole
Non Puoi aprire nuove discussioni Non Puoi rispondere ai messaggi Non Puoi allegare file Non Puoi modificare i tuoi messaggi Il codice vB è On Le Faccine sono On Il codice [IMG] è On Il codice HTML è Off

Vai al Forum

Tutti gli orari sono GMT +1. Ora sono le: 16:00.

Gigabyte MO32U24 OLED: il 4K a 240Hz su un pannello OLED ideale per il gaming Pannello QD-OLED da 32 pollici con risoluzione 4K, frequenza di aggiornamento a 240Hz e tempi di risposta rapidissimi: il Gigabyte MO32U24 evolve il progetto del...

Recensione realme 16 5G: lo smartphone con Selfie Mirror ha una batteria da 6550mAh realme 16 5G è un nuovo smartphone con sensore Sony IMX 852 da 50MP sul retro e uno specchio selfie fisico integrato nella camera bar, una prima nel segmento di...

Forza Horizon 6 Recensione: si vola in Giappone! Forza Horizon 6 arriva con la nuova ambientazione in Giappone, il paese più desiderato dalla community fin dal debutto della serie nel 2012. Playground Games ha...

Da oggi mirrorless full-frame Canon EOS R6 V e RF 20-50mm F4 L IS USM PZ, il meglio per i video a mano libera Disponibili da oggi sia una nuova mirrorless full-frame, Canon EOS R6 V, sia l'obiettivo RF 20-50mm F4 L IS USM PZ, il primo RF full-frame serie L con power zoom...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

Plaud NotePin S, il registratore IA si fa indossabile (ma è facile da perdere) Quattro modi di indossarlo, stessa app del Plaud Note Pro e integrazione con il desktop. Il registratore IA da indossare di Plaud eccelle in mobilità, ma resta vincolato...

Come rispettare tutte le nuove regole per i monopattini elettrici? La guida per non rischiare sanzioni Sono ormai definitive le nuove norme del Codice della Strada per i monopattini elettrici. Non solo targa e assicurazione, le regole sono tante e riguardano diversi...

Reolink OMVI 3i WiFi: videosorveglianza più intelligente e facile da usare Con tripla lente, tracking sincronizzato, visione notturna a colori e controllo locale senza abbonamenti, la OMVI 3i WiFi porta la sicurezza domestica a un livello...

© 1997 - 2018 - Hardware Upgrade S.r.l. P.iva: 02560740124
Hardware Upgrade, testata giornalistica con registrazione tribunale di Varese, n. 879 del 30/07/2005. Iscrizione ROC n. 13366 - Ulteriori informazioni.
Per eventuali segnalazioni, inviare una mail all'indirizzo [email protected]