[SECURITY-L] Vulnerabilidades descobertas no Internet Explorer ja possuem correcao
Security Team - UNICAMP
security em unicamp.br
Ter Fev 3 11:20:30 -02 2004
----- Forwarded message from Denny Roger <denny em batori.com.br> -----
From: "Denny Roger" <denny em batori.com.br>
Subject: Vulnerabilidades descobertas no Internet Explorer já possuem correção
To: <security em unicamp.br>
Date: Tue, 3 Feb 2004 10:54:40 -0200
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
A Microsoft disponibilizou ontem (02/02) a atualização acumulativa para o Internet Explorer. Esta nova atualização inclui todas as correções já aplicadas no Internet Explorer 5.01, Internet Explorer 5.5, e Internet Explorer 6.0. Adicionalmente, elimina três vulnerabilidades recentemente descobertas:
. Uma vulnerabilidade que envolve o modelo de segurança cross-domain do Internet Explorer. Essa vulnerabilidade resulta na execução de um script em uma máquina local. Para explorar esta vulnerabilidade, o atacante teria que criar um site com o script na página web e o usuário teria que acessar este site contendo o código malicioso para que o script seja executado. Outra forma de enganar o usuário era enviando um e-mail em HTML com o código malicioso junto com o HTML.
. Outra vulnerabilidade encontrada no Internet Explorer era quando o usuário clicava em um link e automaticamente era salvo um arquivo na máquina do usuário, sem o seu conhecimento.
. Uma vulnerabilidade que envolve a análise gramaticalmente incorreta de URLs que contêm caráter especiais. Para explorar esta vulnerabilidade, o atacante teria que criar uma página web com um link. O atacante teria que persuadir o usuário a clicar no link. Caso o usuário clicasse no link, é aberto uma nova janela no Internet Explorer com a URL verdadeira, porém, o site falso. A exploração desta vulnerabilidade pode ser testada no site da Batori, acesse http://www.batori.com.br/noticcon.asp?arquivo=seg03121202.htm.
Para aplicar as correções acesse o site http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms04-004.asp e localize a atualização correspondente a versão do seu Internet Explorer.
Autor: Denny Roger
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L