• Desativar o "Help Link"(Link de Ajuda)

Nome do Script: Joomla - Modulo Joomla Board
Site do Script: -
Versão Afetada: 1.1.x

Encontrado por Cold z3ro
Email: Cold-z3ro [at] hotmail.com

O parametro passado em "$sbp" no arquivo sb_helpers.php náo é propriamente verificado e pode ser usado para incluir arquivos remotos.

Detalhes:

Os pesquisadores de segurança da Aviv Raff, descobriram uma falha de segurança no IE7 que permite a um usuário malicioso conduzir ataques de XSS devido a um erro local no arquivo navcancl.htm. Este arquivo é utilizado pelo IE7 para informar quando o carregamento de um site for cancelado e devido a um erro em seu código pode ser modificado para realizar ataques de Phishing Scam.

Metódo de exploração: 

Inserindo o código res://ieframe.dll/navcancl.htm#http://www.google.com em uma página da web com um script para forjar uma mensagem de cancelamento, o navegador irá informar que a navegação foi cancelada e assim que o usuário pressionar o botão atualizar o site que abrirá é o do Google que está depois do sinal #...

O ataque é feito por golpistas, tendo como alvo computadores com o software instalado, o ataque é feito através de sites com códigos java nocivos, os quais se aproveitam de uma função do programa para compartilhamento de dados online...