Microsoft Internet Explorer Modal Dialog Manipulation Vulnerability

Microsoft Internet Explorer tiene un modelo de seguridad(valor) sumamente sofisticado basado en el contenido de "zonas", que controlan el comportamiento de sitios web y como el contenido potencialmente inseguro sobre ellos es manejado. El navegador reacciona de manera diferente a riesgos de seguridad potenciales dependiendo el contenido que proviene de la "la zona".

El modelo de seguridad a base de zonas ha tenido algunas violaciones de seguridad serias, muchas de cual pueden ser atribuidas al empleo anterior de "Local Machine Zone" para proporcionar la funcionalidad de nivel de aplicación al contenido de la web.

Aquellos diálogos que permanecen aun en la aplicacion son vulnerables a una condición de engranaje de distribución explotable que puede causar un no planeado "Sí", "Permitir" "o Instalar" como respuesta a una seguridad sin falta.

Un usuario podría crear un contenido malevolo que solicitaría que el usuario pulsara un objeto o presionaría una secuencia de Keys.

Prueba de Concepto

Codigo de Prueba

Creditos: Matthew Murphy mattmurphy@kc.rr.com.