1372
La falla è dovuta ad un errore presente nelle funzionalità di drag-and-drop che non effettua una validazione adeguata di alcuni eventi e metodi forniti dal DHTML Object Model. Tale vulnerabilità potrebbe essere sfruttata da un sito web malevolo per bypassare alcune restrizioni di sicurezza e posizionare dei file malevoli sul sistema dell’utente. Ciò è possibile inducendo l’utente a cliccare e trascinare un oggetto da una particolare finestra del browser ad un altra finestra che punta a delle risorse locali.
L’exploitazione della falla richiede parecchie interazioni con l’utente.
Soluzione:
Nessuna patch disponibile al momento;
Disabilitare il supporto Active Scripting tranne che per i siti fidati;
Impostare il kill bit sul controllo Shell Explorer;
13 Mar 2006
09 Mar 2006
23 Feb 2006
