|
Tổng quan
Các phiên bản Microsoft Internet Explorer 6, 7,
and 8 cho phép kẻ tấn công thực hiện mã lệnh thông qua Cascading
Style Sheets (CSS)
I. Mô tả
Lỗi này nằm trong cơ chế thực hiện mã hóa phiên làm việc của ứng dụng web ASP.NET, dẫn tới việc kẻ tấn công có thể thăm dò để tìm ra khóa giải mã trong một thời gian ngắn.
Hiện tại chưa có bản vá chính thức cho lỗi này.
II. Tác hại
Khi người dùng truy cập vào văn bản HTML (một trang web hay một email đính kèm) chứa mã khai thác, kẻ tấn công có thể thực hiện đoạn mã với quyền người dùng tương ứng
Kẻ tấn công khai tác vào lỗ hổng này có thể tìm ra khóa giải mã để đọc nội dung những thông tin đã được mã hóa. Từ đó, kẻ xấu có thể thực hiện các thao tác tấn công leo thang để chiếm quyền điều khiển hệ thống.
III. Giải pháp
Microsoft hiện đã có bản vá MS10-090 cho lỗi này. Trung tâm VNCERT khuyến cáo các tổ chức và cá nhân thực hiện vá lỗi trên ngay khi có thể.
Các hệ thống có khả năng bị ảnh hưởng
Tất cả các hệ điều hành dùng các phiên bản IE6 , IE7 và IE8
Tham khảo
Other Information
Ngày thông báo |
15/12/2010 |
Ngày cập nhật sau cùng |
|
VNCERT-ID |
LH10-1512 |
Mức độ nguy hiểm |
cao |
Mọi thắc mắc hay ý kiến đóng góp xin liên hệ địa chỉ email chính thức của VNCERT (office[at]vncert[.]vn)
|
