Descrizione del problema
E’ stata riscontrata una vulnerabilita’ in Microsoft Windows che potrebbe
essere sfruttata per aggirare restrizioni di sicurezza ed ottenere l’accesso
ad informazioni sensibili.
Questa vulnerabilita’ e’ dovuta ad un errore nel gestore del protocollo MHTML
durante l’interpretazione di MHTML URI redirections, e potrebbe essere
sfruttata per aggirare restrizioni di domini Internet Explorer durante la
restituzione di contenuti MHTML attraverso pagine web appositamente
predisposte. Inoltre potrebbe permettere di leggere contenuti da un altro
dominio Internet Explorer o dal sistema locale.
:: Piattaforme e software interessati
– – Microsoft Outlook Express 5.5 Service Pack 2
– – Microsoft Outlook Express 6 Service Pack 1
– – Microsoft Outlook Express 6
– – Microsoft Windows Mail
:: Impatto
– – accesso ad informazioni sensibili
:: Soluzioni
Applicare le patch
– — Outlook Express 5.5 SP2 —
Windows 2000 SP4:
http://www.microsoft.com
– — Outlook Express 6 SP1 —
Windows 2000 SP4:
http://www.microsoft.com
– — Microsoft Outlook Express 6 —
Windows XP SP2/SP3:
http://www.microsoft.com
Windows XP Professional x64 Edition (optionally with SP2):
http://www.microsoft.com
Windows Server 2003 SP1/SP2:
http://www.microsoft.com
Windows Server 2003 x64 Edition (optionally with SP2):
http://www.microsoft.com
Windows Server 2003 with SP1/SP2 for Itanium-based Systems:
http://www.microsoft.com
– — Windows Mail —
Windows Vista (optionally with SP1):
http://www.microsoft.com
Windows Vista x64 Edition (optionally with SP1):
http://www.microsoft.com
Windows Server 2008 for 32-bit Systems:
http://www.microsoft.com
Windows Server 2008 for x64-based Systems:
http://www.microsoft.com
Windows Server 2008 for Itanium-based Systems:
http://www.microsoft.com/
:: Riferimenti
Microsoft:
http://www.microsoft.com/
FrSirt:
http://www.frsirt.com/english/advisories/2008/2352
Secunia:
http://secunia.com/advisories/31415/
CVE Mitre:
http://www.cve.mitre.org