Первая уязвимость в Internet Explorer 6-й и 7-й обнаружена в обработке Javascript кода, который перенеправляет браузер на другой домен.
В результате злоумышленник может выполнить произвольный JavaScript код в контексте загружаемого сайта, установить или просмотреть файлы куки, просмотреть или изменить формы, просмотреть или записать не полностью инициализированные DOM объекты.
Вторая уязвимость, обнаруженная только в 6-й версии браузера Internet Explorer, позволяет злоумышленнику с помощью специально сформированной Web страницы изменить DOM объекты `location` и подделать адресную строку, диалоговые окна или SSL сертификаты.
Первая уязвимость в последних версиях Mozilla firefox позволяет удаленному пользователю внедрить злонамеренный JavaScript код (включая код для перехвата событий нажатых клавиш) в страницы, содержащие IFRAME для отображения данных. Вторая уязвимость позволяет злоумышленнику с помощью последовательности blur/focus операций обойти таймер задержки для некоторых диалоговых окон и потенциально загрузить и выполнить произвольные файлы на системе.
Ко всем обнаруженным уязвимостям опубликован PoC код, демонстрирующий возможность их эксплуатации. До выхода соответствующих исправлений рекомендуется отключить или ограничить использование JavaScript в уязвимых версиях браузера.
Источник: securitylab.ru.
| 
