SR04-075 Flera webbläsare sårbara för exekvering av godtycklig kod i IFRAME

Publicerad: 040630
Senast uppdaterad: 040701

Problembeskrivning:
CVE-referens: -
Mark Laurence och http-equiv har uppmärksammat att Microsoft Internet Explorer fortfarande är sårbar för en sårbarhet som möjliggör att godtycklig kod kan laddas i en "frame" i ett så kallat "pop-up" fönster. Exempelkod för denna sårbarhet har postats där godtycklig kod körs i en "frame" på windowsupdate.microsoft.com. Sitic har verifierat denna sårbarhet på en fullt patchad Microsoft Windows XP och Windows 2000 med Internet Explorer 6.

Det har visat sig att fler webbläsare än Internet Explorer har samma sårbarhet.

Påverkade versioner:
Microsoft Internet Explorer 5.0.1
Microsoft Internet Explorer 5.0.1 SP1
Microsoft Internet Explorer 5.0.1 SP2
Microsoft Internet Explorer 5.0.1 SP3
Microsoft Internet Explorer 5.0.1 SP4
Microsoft Internet Explorer 5.5.0
Microsoft Internet Explorer 5.5.0 SP1
Microsoft Internet Explorer 5.5.0 SP2
Microsoft Internet Explorer 6.0.0
Microsoft Internet Explorer 6.0.0 SP1
Internet Explorer 5.x för Mac
Konqueror 3.x
Mozilla 0.x
Mozilla 1.0
Mozilla 1.1
Mozilla 1.2
Mozilla 1.3
Mozilla 1.4
Mozilla 1.5
Mozilla 1.6
Mozilla Firefox 0.x
Netscape 6.x
Netscape 7.x
Opera 5.x
Opera 6.x
Opera 7.x
Safari 1.x

Uppdatering:
Vid skrivande stund finns det ingen uppdatering för vissa webbläsare, besök leverantörens hemsida för mer information.

Tillfällig lösning:
Klicka inte på länkar eller besök sidor du inte litar på.

Mer information:
http://www.microsoft.com/technet/security/bulletin/ms98-020.mspx
http://archives.neohapsis.com/archives/fulldisclosure/2004-06/0921.html
http://archives.neohapsis.com/archives/fulldisclosure/2004-06/0923.html
http://secunia.com/advisories/11978/

Versionshistorik:
040630: Särskilt råd skapat.
040701: Uppdaterade rubrik, inledning, problembeskrivning, påverkade versioner, uppdatering, tillfällig lösning och mer information.