Vulnerabilità download di Explorer

[sathia]

VU#251788 - Microsoft Internet Explorer does not safely handle multiple file download requests

06/04/2003

When Internet Explorer (IE) parses an HTML document containing a frame (FRAME or IFRAME element) that specifies an executable file (.exe) as its source, a dialog window is displayed that asks the user how to handle the file. The dialog window prompts the user to execute the file, save the file, or cancel the operation. When handling a document that contains a sufficiently large number of such frame elements, IE fails to apply the expected security restrictions to the frame and executes the specified file without user intervention. Other software that uses the WebBrowser ActiveX control may be affected.

http://www.kb.cert.org/vuls/id/251788

questo vuol dire che se un frameset contiene molti frames o iframe, che a loro volta hanno all'interno dei file exe, exploder si dimentica di fare il controllo sulla sicurezza, e esegue allegramente i file.

www.mozilla.org/projects/firebird ad esempio no...

[Al è qui]

Specialmente per chi ha una lan in ufficio per evitare problemi può settare a tre il valore della chiave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\3\1803

In questo mo gli utenti non potranno utilizzare il download. Almeno fino a che non ci sarà una patch lo consiglio.

Grazie sathia per il link

[sathia]

de nada

[Habanero]

Certo che con tutto sto casino di Bugbear.B questa falla non ha avuto molto rilievo...
Purtroppo ho verificato che l'exploit funziona alla grande e permette non solo l'esecuzione di file locali ma anche remoti.

Qui le info:

http://www.microsoft.com/technet/tre...n/MS03-020.asp

E qui la patch:

http://www.microsoft.com/windows/ie/...29/default.asp

[br0tz]

capperi ma è un bug enorme!!!

(se un giorno explorer diventerà open source sarà meglio che i suoi utenti (bhe.. anch'io sotto win ) non si connettano x almeno 2 anni)

[sathia]

perché non viene messo in rilievo?

[br0tz]

Originariamente inviato da sathia
perché non viene messo in rilievo?

perchè se no da domani altro che bear....
ma avrà lo stesso effetto nelle mail lette da outlook???

[sathia]

Originariamente inviato da br0tz
perchè se no da domani altro che bear....
ma avrà lo stesso effetto nelle mail lette da outlook???

1) usare firebird come browser aiuterebbe... www.mozilla.org/projects/firebird

2) usare eudora come client di posta aiuterebbe www.eudora.com

comunque temo che l'anteprima di outlook utilizzi il motore di exploder, e che quindi basti visualizzare una mail fatta per bene... [credo dico credo]

inoltre non credo che la filosofia microsoft [security by obscurity] sia tanto furba

[br0tz]

io veramente sto cercando di smettere in modo definitivo...

debian è quasi apposto...

solo che anche i miei usano il pc è per loro win è più comodo

cmq explorer nn è malaccio.. è uno dei pochi sistemi operativi che salta la fase di testing è la fa fare direttamente agli utenti... così anche loro si rendono conto dei problemi... è innovativo no???????????:mavieni:

nonostante tutto continuo a usarlo.. penso sia una forma di masochismo..
per alcune cose nn va malaccio

se anche voi usate outlook vi consiglioho di disabilitare l'html.. non soltanto per i virus ma anche per lo spam!

[Habanero]

comunque temo che l'anteprima di outlook utilizzi il motore di exploder, e che quindi basti visualizzare una mail fatta per bene... [credo dico credo]

Nel caso delle email e outlook express 6sp1 non sono riuscito a farlo funzionare ma credo sia una protezione del client di posta. Non vorrei azzardare ma secondo me dalla versione 6 hanno completamente disabilitato gli IFRAME nelle email in formato HTML (idem per i semplici FRAME). Infatti non sono riuscito neanche a visualizzare un semplice IFRAME contenente una pagina web. Chi avesse notizie in merito...
Per le versioni precedenti di outlook l'exploit non credo funzioni visto che dovrebbe essere un bug di IE6.

A questo punto mi è venuto il dubbio che fosse possibile far funzionare l'exploit su vari siti di webmail. Direi che in generale sono abbastanza intelligenti da disabilitare sia i Frame che gli IFrame oltre agli Script.

Sembrerebbe (lasciatemi il beneficio del dubbio) quindi che l'unico modo per attivare il bug sia cliccare su un link che apra la pagina incriminata...