Da www.upyou.it

" Una falla conosciuta da Maggio e considerata di gravit?inore si dimostra pi?icolosa del privisto.

A far scattare l'allarme ?tato un exploit pubblicato da Computer Terrorism, societ?pecializzata in sicurezza informatica, che sfrutta una falla gi?onosciuta di Internet Explorer per eseguire codice malevolo all'insaputa dell'utente.

La falla in questione ?onosciuta fin dal mese di Maggio di quest'anno ma era stata considerata dagli esperti come un problema secondario in quanto si credeva che potesse solo essere utilizzata per causare dei crash del browser."



Da secunia.com

"The vulnerability is caused due to certain objects not being initialized correctly when the "window()" function is used in conjunction with the "" event. This can be exploited to execute arbitrary code on a vulnerable browser via some specially crafted JavaScript code called directly when a site has been loaded.

Example:



Successful exploitation requires that the user is e.g. tricked into visiting a malicious website.

The vulnerability has been confirmed on a fully patched system with Internet Explorer 6.0 and Microsoft Windows XP SP2, and Internet Explorer 6.0 and Microsoft Windows 2000 SP4.

Solution:
Disable Active Scripting except for trusted sites."


Da QUESTO link ?ossibile vedere all'opera un ProofOfConcept dell'exploit, che esegue senza autorizzazione la calcolatrice di windows.

Microsoft ha pubblicato un documento che potete trovare qui.