Microsoft è stata costretta a rilasciare una pach cumulativa per quattro bug scoperti nelle versioni dalla 5.01 alla 6.0 del proprio browser.
Le vulnerabilità sono:
1) boundary error nella libreria urlmon.dll, a causa della scorretta verifica di alcuni parametri; questa vulnerabilità è sfruttabile per un buffer overflow ai danni del sistema, e per l'esecuzione di codice virale con privilegi di accesso dell'utente.
2) c'è una information disclosure vulnerability nel file upload control a causa di un problema nella modalità con cui vengono gestite le richieste di upload in arrivo, questo consentirebbe ad un attaccante di recuperare file protetti dal computer dell'utente.
3)C'è un input validation error nella metodologia di chiamata dei plug-in di terze parti.
Il problema è che i parametri dell'URL utilizzati per attivare un plug-in di terze parti non sono correttamente verificati.
4) c'è un input validation error provocato dalla mancata verifica del parametro del Cascading Style Sheet Input per i modal dialogs.
Le vulnerabilità sopradescritte sono attivabili anche da remoto, L'attacco via email non funziona però se l'utente utilizza Outlook Express 6.0 o Outlook 2002 in configurazione di default, oppure con Outlook 98 o 2000 assieme all'Outlook Email Security Update.
La patch in italiano è scaricabile a questo indirizzo: http://www.microsoft.com/windows/ie/downloads/critical/813489/download.asp
Le vulnerabilità sono:
1) boundary error nella libreria urlmon.dll, a causa della scorretta verifica di alcuni parametri; questa vulnerabilità è sfruttabile per un buffer overflow ai danni del sistema, e per l'esecuzione di codice virale con privilegi di accesso dell'utente.
2) c'è una information disclosure vulnerability nel file upload control a causa di un problema nella modalità con cui vengono gestite le richieste di upload in arrivo, questo consentirebbe ad un attaccante di recuperare file protetti dal computer dell'utente.
3)C'è un input validation error nella metodologia di chiamata dei plug-in di terze parti.
Il problema è che i parametri dell'URL utilizzati per attivare un plug-in di terze parti non sono correttamente verificati.
4) c'è un input validation error provocato dalla mancata verifica del parametro del Cascading Style Sheet Input per i modal dialogs.
Le vulnerabilità sopradescritte sono attivabili anche da remoto, L'attacco via email non funziona però se l'utente utilizza Outlook Express 6.0 o Outlook 2002 in configurazione di default, oppure con Outlook 98 o 2000 assieme all'Outlook Email Security Update.
La patch in italiano è scaricabile a questo indirizzo: http://www.microsoft.com/windows/ie/downloads/critical/813489/download.asp
