CVE-2024-43461

2024. szeptember 16. 13:51

Windows MSHTML Platform sérülékenysége
Angol cím: Windows MSHTML Platform Vulnerability

Publikálás dátuma: 2024.09.10.
Utolsó módosítás dátuma: 2024.09.10.

A sérülékenység aktívan kihasználtként volt megjelölve az alábbi dátumtartományra vonatkozóan: 2024.09.10. – 2024.10.01.

Leírás

A felhasználói felület (UI) nem jeleníti meg megfelelően a kritikus információkat a felhasználó számára, lehetővé téve az információk – vagy azok forrásának – elfedését vagy meghamisítását.

Leírás forrása: CWE-451

Elemzés leírás

Eredeti nyelven: The vulnerability allows a remote attacker to perform spoofing attack. The vulnerability exists due to the way the Internet Explorer displays a user prompt after a file is downloaded. A remote attacker can create a specially crafted filename that causes the true file extension to be hidden, trick the victim into downloading it and potentially compromise the affected system. Note, the vulnerability is being actively exploited in the wild.

Elemzés leírás forrása: CVE-2024-43461

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 8.8 (Magas)
Vector: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 2.8

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High