[يتيم الشعر]

ثغرة أمنية خطيرة في متصفح إنترنت إكسبلورر 6 مع ويندوز XP سيرفس باك 1 و 2
(لم يتم إصدار باتش لها حتى الآن)
21/11/2005م

تقييم الثغرة : خطير
استغلال الثغرة عن بعد : نعم
استغلال الثغرة محلياً : نعم
تاريخ النشر : 21/11/2005م
باتش للثغرة : لا يوجد حتى الآن

وصف تقني

تم إكتشاف ثغرة جديدة خطيرة في متصفح انترنت إكسبلورر ، يمكن من خلالها الهجوم على الكمبيوتر عن بعد والتحكم بالجهاز بشكل تام من خلال إرسال وتشغيل الأوامر المختلفة . وهذه الثغرة بسبب خطأ في الذاكرة عند التعامل مع صفحة HTML تحتوي على سكربت جافا مبني بشكل معين لإستدعاء عنصر الجافا "()window" ووظيفة Body OnLoad ، ويتمكن المهاجم من التحكم بكامل النظام بشكل سهل جداً وذلك من خلال استدراج الضحية لزيارة صفحة الموقع الملغومة .

تم التأكد من عمل هذه الثغرة مع متصفح إنترنت إكسبلورر 6 على نظام التشغيل ويندوز إكس بي سيرفس باك 2 ومحمل عليه جميع باتشات الحماية .

البرامج التي تحوي الثغرة

متصفح إنترنت اكسبلورر النسخة 6 على ويندوز إكس بي سيرفس باك 1

متصفح إنترنت اكسبلورر النسخة 6 SP1 على ويندوز إكس بي سيرفس باك 2


متصفح إنترنت اكسبلورر النسخة 5.01 SP4 على ويندوز 2000 سيرفس باك 4

متصفح إنترنت اكسبلورر النسخة 6 SP1 على ويندوز 2000 سيرفس باك 4

الحل


لم يتم الإعلان عن أي باتش لهذه المشكلة الإمنية حتى هذه اللحظة

** حل مؤقت لحين صدور الباتش :

إذهب إلى خيارات الإنترنت من قائمة إدوات في متصفح إنترنت إكسبلورر
إذهب إلى تبويب أمان وأنقر على زر مستوى مخصص أو Custom Level
أبحث عن Active ******ing وقم باختيار Disable
ثم موافق ---> موافق لإغلاق النافذة .

مصدر التقرير حول الثغرة


Benjamin Tobias Franz وعمل كود الثغرة Stuart Pearson