Questo sito contribuisce alla audience di

Ennesima falla su Internet Explorer

Matthew Murphy ha scoperto una vulnerabilità in Internet Explorer che potrebbe essere sfruttata da un utente malevolo per compromettere un sistema vulnerabile (www.zone-h.it)

La falla è dovuta ad un errore presente nelle funzionalità di drag-and-drop che non effettua una validazione adeguata di alcuni eventi e metodi forniti dal DHTML Object Model. Tale vulnerabilità potrebbe essere sfruttata da un sito web malevolo per bypassare alcune restrizioni di sicurezza e posizionare dei file malevoli sul sistema dell’utente. Ciò è possibile inducendo l’utente a cliccare e trascinare un oggetto da una particolare finestra del browser ad un altra finestra che punta a delle risorse locali.
L’exploitazione della falla richiede parecchie interazioni con l’utente.

Soluzione:
Nessuna patch disponibile al momento;
Disabilitare il supporto Active Scripting tranne che per i siti fidati;
Impostare il kill bit sul controllo Shell Explorer;

Le categorie della guida