Összefoglaló
A Microsoft megerősített az Internet Explorer egy sebezhetőségének létezését, amelyet kihasználva rosszindulatú támadók cross-site scripting (XSS) támadásokat hajthatnak végre.
Leírás
A Microsoft megerősített az Internet Explorer egy sebezhetőségének létezését, amelyet kihasználva rosszindulatú támadók cross-site scripting (XSS) támadásokat hajthatnak végre.
A sérülékenységet az XSS Filter egy hibája okozza, amely kihasználható a script blokk-ból való kitörésre és tetszőleges HTML és scritp kód futtatására bizonyos weboldalakon.
Ez a sérülékenység kapcsolódik a következő sérülékenység 2. pontjához:
SA38209
Egy hiba az Internet Explorer 8 XSS szűrőjében okozhatja, hogy egy HTML kiterjesztés hibásan figyelmen kívül hagyjon, amúgy megfelelően szűrt HTTP válasz adatokat. Ez kihasználható a szűrű megkerülésére és tetszőleges HTML és script kód futtatására egy másik biztonsági zónában.
A sikeres kihasználás feltétele bizonyos szintű hozzáférés a támadott weboldal tartalmához.
Megoldás
Ne nyisson meg nem megbízható hivatkozásokat!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 39578
Egyéb referencia: blogs.technet.com
SECUNIA 38209
