Internet Explorer Automatic File Download and Execution

 Date de Publication: 2003-05-21
 Titre: Internet Explorer Automatic File Download and Execution
 K-Otik ID : 0099
 Exploitable à distance : Oui
 Exploitable en local : Oui
 

 

 * Description Technique - Exploit *
 
Il est possible de forcer le browser d'un utilisateur afin de télécharger et installer un programme arbitraire, grâce à un code HTML malicieux contenant plusieurs "frames". En envoyant des requêtes multiples à un même fichier, les restrictions de sécurité de IE peuvent être dépassées, le fichier sera téléchargé et exécuté avec les privilèges de l'utilisateur exécutant IE, sans aucune intervention de l'utilisateur.

  * Versions Vulnérables *

 Microsoft Internet Explorer 6

  * Solution *

Désactiver la fonction de téléchargement, ou utiliser un autre explorateur


  * Crédits *
 
Faille découverte par Marek Bialoglowy (Mai 2003).

 

Audits de Sécurité & Tests Intrusifs F-VNS Security™ Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

Exploits