06/14/2006
Sono state riscontrate alcune vulnerabilità in Internet Explorer, le quali potrebbero essere sfruttate da un utente malevolo per eseguire attacchi phishing, o per compromettere il sistema di un utente.
La prima falla è causata da un errore di corruzione della memoria al momento di effettuare la decodifica di particolari pagine HTML codificate in UTF-8. La vulnerabilità può essere sfruttata per eseguire codice arbitrario inducendo l'utente a visitare un sito web malevolo.
La seconda vulnerabilità è dovuta ad un errore di corruzione della memoria al momento di validare i parametri passati al controllo ActiveX DXImageTransform.Microsoft.Light. La vulnerabilità può essere sfruttata per eseguire codice arbitrario inducendo l'utente a visitare un sito web malevolo.
La terza falla è causata dalla modalità con cui vengono instanziati alcuni oggetti COM che non sono progettati per essere instanziati tramite Internet Explorer. Tale vulnerabilità può essere sfruttata per eseguire codice arbitrario quando viene visitato un sito web malevolo.
La quarta falla è dovuta ad un errore che permette la falsificare delle informazioni nella barra degli indirizzi e di altre parti della UI, permettendo così ad un utente malevolo di eseguire degli attacchi phishing.
L'ultima vulnerabilità riguarda un errore di corruzione della memoria causato dalla modalità con cui un file HTML multipart (.mht) viene salvato. Tale vulnerabilità può essere sfruttata per eseguire codice arbitrario inducendo l'utente a salvare un particolare pagina Web in formato HTML multipart.
Soluzione
=======
Applicare le relative patch:
Internet Explorer 5.01 SP4 su Windows 2000 SP4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=91A997DE-BAE4-4AC7-912D-79EF8ABAEF4F
Internet Explorer 6 SP1 su Windows 2000 SP4 o Windows XP SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0EB17A41-FB43-413B-A5CC-41E1F3DEDE4F
Internet Explorer 6 per Windows XP SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=85CABE87-C4A0-4F80-BD1C-210E23FD8D81
Internet Explorer 6 per Windows Server 2003 e Windows Server 2003 SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=CCE7C875-C9A4-4C3D-A37B-946EE5E781E7
Internet Explorer 6 per Windows Server 2003 per Itanium-based systems (con o senza SP1):
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8E4CFB6-1350-4AAE-B681-EE2ECAB41118
Internet Explorer 6 per Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=1C7D5C6D-DDCF-485D-A1E3-60E55334FD74
Internet Explorer 6 per Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F91791AC-8185-4346-AA66-89F74D4B5EA7
Internet Explorer 6 SP1 su Windows 98, Windows 98 SE, o Windows Me:
Le patch sono disponibili dal sito web Windows Update.
Riferimenti
=======
http://www.microsoft.com/technet/security/Bulletin/MS06-021.mspx
http://support.microsoft.com/kb/916281
http://secunia.com/advisories/20595/
