-
Уязвимость в Internet Explorer
Уязвимость в Internet Explorer
Sven Vetsch из швейцарской компании Scip AG сообщил о наличии неисправленной на настоящий момент уязвимости в браузере Internet Explorer версии 6. Уязвимость типа межсайтовый скриптинг (cross site scripting) связана с особенностью обработки этим браузером графических файлов, в которые внедрён HTML-код. IE обрабатывает подобные файлы, анализируя заголовок файла (например, GIF), обрабатывая оставшееся содержимое сплошным потоком, при этом сам HTML-код обрабатывается встроенным в IE движком обработки HTML. Использование уязвимости позволяет выполнить произвольный код код в системе. Тесты на других браузерах (Mozilla Firefox до 1.0.5, Netscape до 8.0 и Opera) показали, что они не подвержены этой уязвимости. Автор уязвимости связался с компанией m$ ещё 30 июля, однако корпорация не приняла никаких мер для устранения ошибок. Кроме того, автором выпущен PoC, демонстрирующий уязвимость.
http://www.securityfocus.com/archive/1/4
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнение скрытых HTTP запросов в Microsoft Internet Explorer
Программа: Microsoft Internet Explorer 6.0
Опасность: Средняя
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю произвести HTTP Request Smuggling атаку и получить доступ к потенциально важным данным жертвы.
Уязвимость существует в функции open() в ActiveX компоненте Microsoft.XMLHTTP из-за недостаточной обработки входных данных. Удаленный пользователь может внедрить произвольный HTTP запрос с помощью специально сформированных данных, содержащих знак табуляции и символ новой строки.
Решение: Способов устранения уязвимости не существует в настоящее время. В качестве временного решения рекомендуется включить высокий уровень безопасности браузера.
Источник: securitylab.ru
-