Da www.upyou.it

” Una falla conosciuta da Maggio e considerata di gravità minore si dimostra più pericolosa del privisto.

A far scattare l’allarme è stato un exploit pubblicato da Computer Terrorism, società specializzata in sicurezza informatica, che sfrutta una falla già conosciuta di Internet Explorer per eseguire codice malevolo all’insaputa dell’utente.

La falla in questione è conosciuta fin dal mese di Maggio di quest’anno ma era stata considerata dagli esperti come un problema secondario in quanto si credeva che potesse solo essere utilizzata per causare dei crash del browser.”

Da secunia.com

“The vulnerability is caused due to certain objects not being initialized correctly when the “window()” function is used in conjunction with the “” event. This can be exploited to execute arbitrary code on a vulnerable browser via some specially crafted JavaScript code called directly when a site has been loaded.

Successful exploitation requires that the user is e.g. tricked into visiting a malicious website.

The vulnerability has been confirmed on a fully patched system with Internet Explorer 6.0 and Microsoft Windows XP SP2, and Internet Explorer 6.0 and Microsoft Windows 2000 SP4.

Solution:

Disable Active Scripting except for trusted sites.”

Da QUESTO link è possibile vedere all’opera un ProofOfConcept dell’exploit, che esegue senza autorizzazione la calcolatrice di windows.

Microsoft ha pubblicato un documento che potete trovare qui.