Майкл Залевски обнаружил 4 новые уязвимости в браузерах Internet Explorer и Mozilla Firefox

image

Ко всем обнаруженным уязвимостям опубликован PoC код, демонстрирующий возможность их эксплуатации.

Первая уязвимость в Internet Explorer 6-й и 7-й  обнаружена в обработке Javascript  кода, который перенеправляет браузер на другой домен. В результате лоумышленник может выполнить произвольный JavaScript код в контексте загружаемого сайта, установить или просмотреть файлы куки, просмотреть или изменить формы, просмотреть или записать не полностью инициализированные DOM объекты.

Вторая уязвимость , обнаруженная только в 6-й версии браузера Internet Explorer,  позволяет злоумышленнику с помощью специально сформированной Web страницы изменить DOM объекты 'location' и подделать адресную строку, диалоговые окна или SSL сертификаты.

Первая уязвимость в последних версиях Mozilla firefox позволяет удаленному пользователю внедрить злонамеренный JavaScript код (включая код для перехвата событий нажатых клавиш) в страницы, содержащие IFRAME для отображения данных. Вторая уязвимость позволяет злоумышленнику с помощью последовательности blur/focus операций обойти таймер задержки для некоторых диалоговых окон и потенциально загрузить и выполнить произвольные файлы на системе.

Ко всем обнаруженным уязвимостям опубликован PoC код, демонстрирующий возможность их эксплуатации. До выхода соответствующих исправлений рекомендуется отключить или ограничить использование JavaScript в уязвимых версиях браузера.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus