Patch cumulativo di Microsoft Internet Explorer 5.5 SP2 Aggiornamento di sicurezza.
Scarica ora

Patch cumulativo di Microsoft Internet Explorer 5.5 SP2 Classifica e riepilogo

Patch cumulativo di Microsoft Internet Explorer 5.5 SP2 Tag

l'aggiornamento della protezione Aggiornamento degli elementi essenziali di sicur Aggiornare la sicurezza Essenziali

Patch cumulativo di Microsoft Internet Explorer 5.5 SP2 Descrizione

Da Microsoft: questa è una patch cumulativa che include la funzionalità di tutte le patch precedentemente rilasciate per IE 5.01, 5.5 e 6.0. Inoltre, elimina le seguenti sei vulnerabilità recentemente scoperte: una vulnerabilità di scripting cross-site in una risorsa HTML locale. IE spedisce con diversi file che contengono HTML sul file system locale per fornire funzionalità. Uno di questi file contiene una vulnerabilità di scripting cross-site che potrebbe consentire a uno script di eseguire come se fosse gestito dall'utente stesso, facendolo funzionare nella zona del computer locale. Un utente malintenzionato potrebbe creare una pagina Web con un URL che sfrutta questa vulnerabilità e quindi ospita quella pagina su un server Web o invialo come e-mail HTML. Quando la pagina Web è stata visualizzata e l'utente ha fatto clic sul collegamento URL, lo script dell'attaccante iniettato nella risorsa locale, lo script dell'attaccante funzionerebbe nella zona del computer locale, consentendolo di funzionare con meno restrizioni di quanto non avrebbe diversamente. Una vulnerabilità di divulgazione delle informazioni relativa all'utilizzo dell'oggetto AM HTML fornisce tale supporto per fogli di stile a cascata che potrebbero consentire a un utente malintenzionato di leggere, ma non aggiungere, eliminare o modificare, i dati sul sistema locale. Un utente malintenzionato potrebbe creare una pagina Web che sfrutta questa vulnerabilità e quindi ospita quella pagina su un server Web o invialo come e-mail HTML. Quando la pagina è stata visualizzata, l'elemento sarà invocato. Sfruttare con successo questa vulnerabilità, tuttavia, richiede una conoscenza esatta della posizione del file previsto da leggere sul sistema dell'utente. Inoltre, richiede che il file previsto contenga un singolo carattere ASCII parcicolare. Una vulnerabilità di informazione delle informazioni relativa alla gestione dello script all'interno dei cookie che potrebbero consentire a un sito di leggere i cookie di un altro. Un utente malintenzionato potrebbe costruire uno speciale cookie contenente script e quindi costruire una pagina Web con un collegamento ipertestuale che fornirebbe quel cookie al sistema dell'utente e invocarlo. Poteva quindi inviare quella pagina web come posta o pubblicare su un server. Quando l'utente ha fatto clic sul collegamento ipertestuale e la pagina ha invocato lo script nel cookie, potrebbe potenzialmente leggere o modificare i cookie di un altro sito. Sfruttando con successo questo, tuttavia, richiederebbe che l'utente malintenzionato conosca il nome esatto del cookie come memorizzato sul file system da leggere correttamente. Una vulnerabilità di spoofing della zona che potrebbe consentire una pagina Web di essere calcolata erroneamente nella zona intranet o, in alcuni casi molto rari, nella zona dei siti attendibili. Un utente malintenzionato potrebbe costruire una pagina Web che sfrutta questa vulnerabilità e tenta di attirare l'utente a visitare la pagina web. Se l'attacco ha avuto successo, la pagina verrà eseguita con meno restrizioni di sicurezza di quanto è appropriato. Due varianti della vulnerabilità della "disposizione del contenuto" discusse nel bollettino di sicurezza Microsoft MS01-058 che influisce su come IE gestisce i download dei download quando è intenzionalmente malformata una disposizione del file scaricabile e le intestazioni del tipo di contenuto. In tal caso, è possibile che cioè ritenga che un file sia un tipo sicuro per la movimentazione automatica, quando in realtà è contenuto eseguibile. Un utente malintenzionato potrebbe cercare di sfruttare questa vulnerabilità costruendo una pagina web appositamente malformata e pubblicando un file eseguibile malformato. Poteva quindi pubblicare la pagina web o inviarlo all'obiettivo previsto. Queste due nuove varianti differiscono dalla vulnerabilità originale in quanto per un sistema per essere vulnerabili, deve essere presente un'applicazione presente che, quando ha superato erroneamente il contenuto malformato, sceglie di consegnarlo al sistema operativo anziché aumentare immediatamente un errore. Un attacco riuscito, quindi, richiederebbe che l'attaccante sappia che la vittima prevista ha una di queste applicazioni presenti sul loro sistema. Infine, introduce un comportamento cambiamento nella zona dei siti limitati. Nello specifico, disabilita i fotogrammi nella zona dei siti limitati. Poiché Outlook Express 6.0, Outlook 98 e Outlook 2000 con Outlook Email Security Update e Outlook 2002 Tutte lettura e-mail Nella zona dei siti limitata per impostazione predefinita, questo potenziamento significa che tali prodotti ora disabilitano i frame in e-mail HTML per impostazione predefinita. Questo nuovo comportamento rende impossibile per un'e-mail HTML aprire automaticamente una nuova finestra o per avviare il download di un eseguibile.

Patch cumulativo di Microsoft Internet Explorer 5.5 SP2 Software correlato