Internet Explorer nabigatzailearen kasuan, esaterako, ondo zehaztuta dauden eta ezagunak diren lau eremu daude:
- Internet: lehenetsitako eremua da. Beste eremuei ez dagokien guztia da.
- Tokiko intraneta: eremu honi dagokio ekipoa konektatuta dagoen sarearen barruan dagoen guztia. Ez da beharrezkoa “kanpoaldera” ateratzea eremu horretara sartzeko, hau da, internetera.
- Konfiantzazko tokiak: eremu honetan daude zerrenda batean berariaz adierazitako toki guztiak. Zerrendan dauden tokiek elementuak eta osagarriak exekuta ditzakete, gutxieneko segurtasun-baimenekin. Esaterako, konfiantzazko toki horiek sinatuta ez dauden ActiveX objektuak exekuta ditzakete.
- Mugatutako tokiak: eremu horretakoak diren bitartean sartzea ezinezkoa den tokiak dira.
Eta beste eremu bat ere badago ezkutuko eremutzat hartzen dena:
- Tokiko ordenagailua: eremu honetan ekipoan biltegiratuta dauden fitxategietara sartzea posible da. Esaterako, webguneko nabigatzailetik aukera dago ekipoan gordeta dauden PDF fitxategiak ikusteko.
Normalean, tokiko intraneteko eremuak, konfiantzazko tokiak eta tokiko ordenagailua eremu pribilegiatu gisa egon ohi dira konfiguratuta. Horregatik, exploitak diseinatuta daude Interneteko eremutik eremu pribilegiatuetara igarotzeko.
Halaber, eraso honek aukera ematen dio erasotzaileari edo aktore gaiztoari kode arbitrarioa exekutatzeko pribilegiatuak ez diren eremuetan, normalean scripten bitartez (programazio-hizkeran idatzitako jarraibideak). Horrela, kode gaiztoa eremu pribilegiatuko baimenekin exekutatzen da. Hala, kalteberatasun mota hau lotuta dago pribilegiatuen mailako erasoekin eta eragin handia izan dezakete. Dakarten arrisku handia ekiditeko, gomendagarria da webguneko nabigatzailea beti eguneratuta mantentzea eta segurtasun-konfigurazio egokia ezartzea. Erakunde mailan, gomendagarria da web-nabigatzaileen inguruan ezartzeko politika zehaztea, horiek eta bestelako kalteberatasunek eraso egitea saihesteko.
Cross-Zone Scripting motako kalteberatasunek egora hauek sor ditzakete:
- Webguneko nabigatzaileko akats batek, baldintza batzuen pean, eremu jakin batean kodea exekutatzea (scriptak) baimendu dezake, pribilegio altuagoak dituen eremu bateko baimenekin exekutatua izateko.
- Webgunean konfigurazio okerra ezartzeak eragin dezake seguruak ez diren edo jatorri zalantzagarria duten tokiak nabigatzaileko eremu pribilegiatuetan zerrendatuta egotea.
- XSS kalteberatasuna (Cross-Site scripting edo gurutzatutako tokietako komandoen sekuentzia) eremu pribilegiatu baten barruan.
Eraso mota horiek hainbat aldiz gertatu dira iraganean. Kalteberatasuna ustiatu egin da software gaiztoa isilean biktimaren nabigatzailean instalatzeko. Nahikoa da biktimak webgune gaiztoa bisitatzea kaltetutako kodea exekutatzeko. Erasoaren ostean instalatu ohi diren birus informatikoak hainbat motatakoak izan daitezke: spywareak, urrutitik kontrolatutako softwareak, harrak, troiarrak, meatzariak, etab.
