Kolejna poważna luka w IE – jest już exploit
Secunia donosi o poważnej niezałatanej luce w przeglądarce Microsoft Internet Explorer. Luka umożliwia zdalnemu atakującemu przejęcie kontroli nad komputerem użytkownika odwiedzającego spreparowaną stronę WWW.
W IE występuję błąd przepełnienia bufora podczas przetwarzania niektórych atrybutów tagu HTML <IFRAME>. Odpowiednio spreparowany dokument z atrybutami „SRC” i „NAME” tagu <IFRAME> może pozwolić na zdalne wykonanie dowolnego kodu. Luka została zweryfikowana w IE 6.0 na Windows XP SP1 oraz Windows 2000.
W sieci ukazał się już exploit na lukę. Obecnie nie działa na Windows XP SP2. Według zalecenia Secunii, system ten nie jest podatny na atak. Jednakże AusCERT donosi, że bardziej wyrafinowany exploit może sprawić, że platforma XP SP2 również będzie podatna na atak. Wskazuje także na możliwość wkorzystania luki za pomocą Microsoft Outlook.
Więcej informacji:
– Internet Explorer IFRAME Buffer Overflow Vulnerability
– Internet Explorer IFRAME Buffer Overflow Vulnerability Allows Remote Compromise
Źródło informacji: CERT Polska