Internet Explorer Cross-Zone Scripting Vulnerability

closeQuesto articolo è stato pubblicato 9 anni 6 mesi 3 giorni fa! Nel mondo HiTech tutto questo tempo equivale ad ere geologiche. Per tanto ricorda che la notizia può essere passata, smentita o annullata!! Quindi effettua altre ricerche nel sito prima di raccontarlo ai tuoi amici!! Potresti fare una figuraccia...

Bollino Rosso per l’ultima falla scoperta in Internet Explorer, il noto browser di casa Microsoft. Vulnerabilità che permette ad un utente malintenzionato di eseguire codice arbitrario da remoto.

Il ricercatore che ha localizzato tale bug è il famoso Aviv Raff, il quale è sempre impegnato nel scovare bug per rendere i software migliori di quello che sono, sopratutto quelli made in Microsoft.

Questa volta tocca al noto browser Microsoft, Internet Explorer, il quale è stato trovato vulnerabile di Cross Site Scripting. Vulnerabilità da non sottovalutare dato che, come spiega Raff, può portare all’esecuzione di codice arbitrario nel PC della vittima.

In questo caso il CSS è molto pericoloso perchè lo script di stampa in IE si esegue nella Local Machine Zone, questo permette l’esecuzione di codice arbitrario da remoto.

Le versioni vulnerabili sono: Internet Explorer 7 e 8b, sia per sistema operativo Windows XP SP2 che Windows Vista. Nell’ultimo sistema operativo Microsoft il problema è più “leggero” in quanto si presenta parzialmente e solo se si ha l’opzione UAC attiva.

Su Milw0rm è gia stato rilasciato l’exploit, che potete trovare qui. Il codice dell’exploit è molto semplice e la sua esecuzione dovrebbe avviare la calcolatrice di Windows. Dico dovrebbe perchè da alcuni miei test l’exploit non funziona (su SO Windows XP con SP2 e IE7 e tutte le patch installate).

Tu cosa ne pensi?