ثغرة أمنية في متصفح إنترنت إكسبلورر 6



ثغرة أمنية جديدة (بقراطيسها) وخطيرة في متصفح إنترنت إكسبلورر 6 مع ويندوز XP سيرفس باك 1 و 2
(لم يتم إصدار باتش لها حتى الآن)
21/11/2005م
تقييم الثغرة : خطير
استغلال الثغرة عن بعد : نعم
استغلال الثغرة محلياً : نعم
تاريخ النشر : 21/11/2005م
باتش للثغرة : لا يوجد حتى الآن

وصف تقني

تم إكتشاف ثغرة جديدة خطيرة في متصفح انترنت إكسبلورر ، يمكن من خلالها الهجوم على الكمبيوتر عن بعد والتحكم بالجهاز بشكل تام من خلال إرسال وتشغيل الأوامر المختلفة . وهذه الثغرة بسبب خطأ في الذاكرة عند التعامل مع صفحة HTML تحتوي على سكربت جافا مبني بشكل معين لإستدعاء عنصر الجافا "()window" ووظيفة Body OnLoad ، ويتمكن المهاجم من التحكم بكامل النظام بشكل سهل جداً وذلك من خلال استدراج الضحية لزيارة صفحة الموقع الملغومة .


تم التأكد من عمل هذه الثغرة مع متصفح إنترنت إكسبلورر 6 على نظام التشغيل ويندوز إكس بي سيرفس باك 2 ومحمل عليه جميع باتشات الحماية .



البرامج التي تحوي الثغرة

متصفح إنترنت اكسبلورر النسخة 6 على ويندوز إكس بي سيرفس باك 1


متصفح إنترنت اكسبلورر النسخة 6 SP1 على ويندوز إكس بي سيرفس باك 2



متصفح إنترنت اكسبلورر النسخة 5.01 SP4 على ويندوز 2000 سيرفس باك 4


متصفح إنترنت اكسبلورر النسخة 6 SP1 على ويندوز 2000 سيرفس باك 4




الحل


لم يتم الإعلان عن أي باتش لهذه المشكلة الإمنية حتى هذه اللحظة


** حل مؤقت لحين صدور الباتش :


إذهب إلى خيارات الإنترنت من قائمة إدوات في متصفح إنترنت إكسبلورر
إذهب إلى تبويب أمان وأنقر على زر مستوى مخصص أو Custom Level
أبحث عن Active scripting وقم باختيار Disable
ثم موافق ---> موافق لإغلاق النافذة .

مصدر التقرير حول الثغرة


Benjamin Tobias Franz وعمل كود الثغرة Stuart Pearson